Según informa PandaLabs, una vulnerabilidad de los servidores Internet Information Server está posibilitando un ataque hacker masivo que ya ha afectado al menos a 282.000 páginas web(286,000 al escribir esta nota), y que puede seguir afectando a muchas más.

A través de dicho problema de seguridad, los hackers pueden inyectar código SQL en todas las páginas que se encuentren alojadas en un servidor web. Dicho código está diseñado para redirigir a todos los visitantes de las páginas manipuladas a un sitio web malicioso, desde el que intentarán analizar el sistema en busca de otras vulnerabilidades que permiten descargar todo tipo de amenazas.

La situación se agrava por el hecho de que la mayor parte de las páginas afectadas no resultan sospechosas en absoluto y tienen, además, un elevado tráfico web.

Cómo detectar si una página ha sido manipulada

Panda Security aconseja a todos los webmasters que tengan sus páginas alojadas en servidores Internet Information Server comprobar, lo antes posible, si sus páginas web han podido verse afectadas. El procedimiento es sencillo, ya que se trata de buscar una cadena de código específica en el código fuente de las páginas, asociada a una etiqueta IFRAME. Dicha cadena es:

<script src="http://www.nihaorr1.com/1.js">

En caso de detectarla, hay que proceder a su eliminación inmediata y avisar a la persona o empresa encargadas de la gestión del servidor donde se alojan las páginas, para que proceda a tomar las medidas de seguridad pertinentes.

Revisen sus Web's y otra cosa, ¿no es mas facil usar Apache que usar IIS?, prueben Apache lñes aseguro que

Lo pueden comprobar y detectar equipos vulnerables o que han sido atacados con la siguiente busqueda en Google.

Ver resultados en Google
Via | Boletin Panda

Pero para descansar les paso lo ultimo sobre los antivirus, para que no los agarren desprevenidos el find e semana.
Durante la última semana, el programa espía Virtumonde ha sido el que más ordenadores ha infectado, según los datos recogidos por PandaLabs, el laboratorio de detección y análisis de malware de Panda Security. El gusano Bagle.HX y el adware NaviPromo ocupan la segunda y la tercera posición.

Top 10 TotalScan

1. Spyware/Virtumonde
2. W32/Bagle.HX.worm
3. Adware/NaviPromo
4. Adware/Comet
5. W32/Bagle.RP.worm
6. W32/Puce.E.worm
7. Adware/Zango
8. Adware/Lop
9. W32/Bagle.QV.worm
10. Adware/Starware

Además, el 23,02% de los ordenadores protegidos con alguna solución de seguridad que han sido analizados esta semana estaban infectados, mientras que esa cifra aumenta hasta el 32,17% entre los ordenadores desprotegidos.

Respecto a los nuevos códigos maliciosos aparecidos esta semana, el informe de PandaLabs destaca el troyano QQHelper.Z, el adware AntispywareMaster y el gusano Rungbu.D.

QQHelper.Z está diseñado para soltar en el equipo dos rootkits que le ayudan a ocultar sus procesos, de modo que sea más difícil detectarlo. Este troyano se conecta a una página web y, además, realiza modificaciones en el sistema como añadir un enlace en la carpeta de “Favoritos”.

El adware AntispywareMaster simula ser un antispyware para engañar a los usuarios y conseguir así que estos lo instalen en su equipo y lo ejecuten. Una vez lo han hecho, este adware crea accesos directos en el menú Inicio y en el escritorio. Cuando es ejecutado, simula realizar un análisis del equipo en busca de códigos maliciosos, mostrando como resultado un número aleatorio de infecciones.

Al analizar este código malicioso hemos encontrado un archivo en el que está registrada la información sobre infecciones que se tiene que mostrar. Es decir, este antispyware sabe ya, de antemano, los códigos maliciosos que va a encontrar en la máquina de los usuarios. Una muestra evidente de que se trata de una herramienta maliciosa

explica Luis Corrons, director técnico de PandaLabs.

Una vez terminado el análisis, si el usuario intenta desinfectar el equipo, es redirigido de manera automática a una página, donde se puede comprar el producto.

El gusano Rungbu.D, por su parte, está diseñado para copiarse en todas las unidades del sistema. Además, modifica varias claves del registro de Windows lo que le permite llevar a cabo acciones maliciosas como ocultar las extensiones de los archivos, cambiar los iconos de los documentos de Microsoft Word por otro icono incluido en el código del gusano y ejecutarse con cada reinicio del sistema, entre otros.

“La gran cantidad de nuevo malware que se pone en circulación cada día provoca que las soluciones tradicionales ya no sean suficientes para mantener protegidos a los usuarios. Para que resulten eficientes, estas soluciones deben ser complementadas con herramientas online capaces de acceder a una base mayor de conocimiento y de detectar, por lo tanto, más malware”, afirma Luis Corrons, Director Técnico de PandaLabs.

Respecto a los ejemplares de malware que más infecciones han causado esta semana, la lista está encabezada por el adware Comet, diseñado para mostrar anuncios a los usuarios durante la navegación. Los gusanos Puce.E y Bagle.RP ocupan los siguientes puestos de la lista.

Top 10 TotalScan

1. Adware/Comet
2. W32/Puce.E.worm
3. W32/Bagle.RP.worm
4. Adware/OneStep
5. W32/Archivarius.A.worm
6. Adware/Zango
7. Adware/Starware
8. W32/Bagle.RP.worm
9. Trj/Downloader.SZW
10. Adware/SpyAxe

En relación con los nuevos ejemplares aparecidos durante la última semana, el informe de PandaLabs destaca los troyanos Nakuru.A, y Selex.B y el gusano RenameLoi.A.

Nakuru.A, una vez ejecutado, ralentiza la conexión a Internet del ordenador infectado. Además, modifica las ventanas de Internet Explorer incluyendo un título con el texto: “Welcome to Your New Home Page”.

Selex.B, por su parte, es un troyano diseñado para capturar información del sistema y enviarla a su creador. Roba direcciones de correo de los ordenadores infectados a las que luego envía correo basura.

Para engañar al usuario, la primera vez que es ejecutado este troyano muestra una pantalla para simular que se está descargando un gestor de descargas llamado: “Fastlane Downloader 3.34b”.

El gusano RenameLoi.A por su parte, cuando es ejecutado por primera vez, muestra una pantalla de Internet con el fondo en verde y un texto religioso, a la vez que hace sonar un pitido. Esta página también la establece como página de inicio y de búsqueda de Internet Explorer y también se muestra con cada reinicio del PC.

Cuando el ordenador arranca, muestra otra pantalla, esta vez con el texto “[Day of judgment]“. Para propagarse, este gusano se copia en todas las unidades removibles. Además, crea varias copias de sí mismo en el equipo.

RenameLoi.A también modifica la página del inicio y el buscador del navegador de Internet y lleva a cabo acciones maliciosas y molestas cómo ocultar los ficheros con atributos de ficheros de sistema.

Estoy escribiendo un manual muy bueno sobre Ajax, php y MySQL que de seguro les gustara, solo que no tengo mucho tiempo, pero prometo postearlo este fin de semana o durante la proxima semana asi que muy al pendiente igual y sale hoy jajaja.

Casi el 30% de los ordenadores que disponen de alguna solución de seguridad, están infectados con malware, según los datos de los análisis realizados durante la presente semana en la web (http://www.infectedornot.com)

Dada la gran cantidad de malware que los delincuentes de Internet ponen cada día en circulación, las compañías de seguridad no dan abasto para detectarlos todos. Esto provoca que no todas las soluciones antimalware detecten lo mismo y, por ello, muchos ordenadores protegidos están infectados sin que los usuarios lo sospechen

, afirma Luis Corrons, director técnico de PandaLabs.

Por su parte, el gusano Bagle.HK ha sido el ejemplar de malware más activo durante esta semana. Destaca la gran actividad de esta familia de gusanos, ya que son cuatro las variantes que aparecen en la lista de las 10 amenazas que más daños han causado estos días.

Códigos maliciosos más activos:

• W32/Bagle.HX.worm
• Spyware/Virtumonde
• W32/Bagle.RP.worm
• Adware/Comet
• W32/Puce.E.worm
• W32/Bagle.QV.worm
• Trj/Rebooter.J
• Adware/Starware
• Adware/Zango
• W32/Bagle.RC.worm

En cuanto a nuevos ejemplares de malware aparecidos durante la semana, PandaLabs destaca a los troyanos Phisher.BH y Explorea.A, así como al gusano Yalove.A.

Phisher.BH está diseñado para recopilar en un archivo .txt -llamado windowsupdate_inst.log- todas las direcciones de correo que puedan encontrarse almacenadas en el ordenador. Posteriormente se encarga de enviar el fichero a un servidor FTP que supuestamente está ubicado en Brasil.

Hecho lo anterior, desde ese mismo servidor se envían mensajes de correo electrónico que tratan de redirigir a los usuarios a falsas páginas diseñadas para realizar ataques phishing. Las mismas están relacionadas con entidades bancarias y sistemas de pago por Internet.

Por su parte, Explorea.A es un troyano que tiene como objetivo realizar diversos cambios en la configuración del sistema, algunos de ellos muy molestos y que, posiblemente, preparen el terreno a posteriores ataques de otros ejemplares de malware. Así, por ejemplo, deshabilita el editor del registro de Windows, oculta ficheros y carpetas e, incluso, es capaz de reiniciar el sistema.

Por último, Yalove.A es un peligroso gusano que descarga otros malware en el ordenador. Cuando es ejecutado, crea varias copias de sí mismo con nombres como fuik.gif o mywork.exe, entre otros. Además, genera un archivo denominado AUTORUN.INF. Tras ello, muestra aleatoriamente en el navegador Internet Explorer, links que conducen a copias del buscador Google.

Además de lo anterior, se conecta a cierto dominio de Internet desde el que descarga una copia de sí mismo y una ampliación.

Asimismo, modifica el archivo host.txt para impedir el acceso a un gran número de páginas web relacionadas con aplicaciones de seguridad informática que puedan estar instaladas en el sistema. Al mismo tiempo, impide la ejecuciòn de muchas herramientas de ese tipo

El gusano también crea y modifica diversas entradas en el registro de Windows.

Via | Email www.pandasecurity.com

gracias.

Madrid, 15 de febrero de 2008 – Más de un 28% de los ordenadores analizados durante la última semana en la web Infected or Not (http://www.infectedornot.com) estaban infectados con malware, pese a contar con una solución de seguridad instalada y actualizada.

“La gran cantidad de malware nuevo que se crea cada día provoca que las soluciones de seguridad tradicionales ya no sean suficientes para mantener protegidos a los usuarios. Por eso, éstas deben ser complementadas con soluciones online, como TotalScan, que al tener acceso a una base de conocimiento mayor son capaces de detectar más malware”, afirma Luis Corrons, director técnico de PandaLabs.

Respecto a los códigos maliciosos más activos durante la última semana, la lista está encabezada por el programa espía Virtumonde, mientras que el segundo y el tercer puesto son para dos ejemplares de adware: NaviPromo y VideoAddon.

Códigos maliciosos más activos:

1. Spyware/Virtumonde
2. Adware/NaviPromo
3. Adware/VideoAddon
4. Adware/Comet
5. Adware/SaveNow
6. Adware/Zango
7. Adware/Lop
8. Adware/OnlineAddon
9. Adware/OneStep
10. Spyware/Vundo

“El adware es un tipo de malware diseñado para mostrar publicidad a los usuarios durante la navegación”, explica Luis Corrons, que además advierte: “hay que tener cuidado, porque estos códigos maliciosos, además de ser molestos, pueden estar creados para datos confidenciales del usuario, comprometiendo aún más su seguridad”.

De los miles de ejemplares de malware aparecidos esta semana, PandaLabs destaca los gusanos Resentment.A y Nuwar.QI.

El primero llega al equipo con la apariencia de una carpeta de Windows. Una vez ejecutado, mostrará un mensaje de error y abrirá un archivo del bloc de notas. A la vez, estará realizando varias copias de sí mismo en el sistema.

Este gusano modifica el Registro de Windows para ejecutarse con cada inicio de sesión. Además, modifica la página de inicio de Internet Explorer por una que simula ser una página de error. Si el usuario pincha sobre “actualizar”, el gusano enviará un email mediante un formulario JavaScript a una dirección de correo.

“La parte curiosa es que ese mail es enviado a una determinada empresa, solicitando el despido de dos trabajadores. Esto hace sospechar de una rencilla personal entre el distribuidor del gusano y las personas que se solicita que sean despedidas”, Comenta Corrons.

Nuwar.QI, por su parte, es un gusano diseñado para enviar spam. Para ello, utiliza el PC del usuario a modo de servidor, lo que provoca una gran ralentización del mismo.

El correo que envía este código malicioso aprovecha asuntos románticos – especialmente dañinos, al haber coincidido su distribución con la fecha de San Valentín- para instar a los usuarios a abrir el archivo adjunto. Si lo hace, el usuario verá algún tipo de postal romántica, pero, a la vez, estará descargando en su archivo una copia del gusano.

Top 10 TotalScan:

1. W32/Bagle.HX.worm
2. Adware/Comet
3. Adware/Starware
4. Adware/VideoAddon
5. W32/Bagle.QV.worm
6. Spyware/Virtumonde
7. Trj/Downloader.RZC
8. Adware/Lop
9. Trj/Rebooter.J
10. Adware/NaviPromo

Además, según datos de esta misma web, un 27,15% de los ordenadores protegidos (con una solución de seguridad instalada y actualizada) que se analizaron esta semana estaban infectados con algún tipo de código malicioso.

"La razón es que se crea tanto malware actualmente que las soluciones de seguridad tradicionales ya no dan abasto. Por ello, su labor debe ser complementada con herramientas online capaces de detectar más malware, como NanoScan o TotalScan", explica Luis Corrons, Director Técnico de PandaLabs.

En relación con los nuevos ejemplares de malware aparecidos, el informe semanal de PandaLabs destaca los gusanos MSNworm.BU y P2PShared.C.

MSNworm.BU se propaga a través del sistema de mensajería instantánea MSN Messenger. Para ello, envía un mensaje a todos los contactos del usuario con un fichero adjunto comprimido. Si uno de ellos descomprime el archivo y lo ejecuta, quedará infectado. Los mensajes que envía son del tipo: "I cant remember anything from this picture:D", "is this you?:S", etc.

Este gusano se conecta a una web desde la que descarga otro fichero malicioso. Además, crea una entrada en el registro de Windows para ejecutarse con cada reinicio de sesión.

P2PShared.C llega al equipo con el icono de dos herramientas. Una vez ejecutado, muestra un mensaje de error. Para propagarse, se copia en las carpetas de programas P2P con nombres atractivos como "Windows Vista x86 MultiLang AutoPatcher.rar" o "MSN Messenger 8 Fully Patched for XP Sp2 and ViSTA.rar".

Panda dispone de herramientas gratuitas de análisis en la dirección http://www.infectedornot.com

“Esto se debe a que, actualmente, se crea un gran número de ejemplares
nuevos de malware cada día, lo que provoca que las soluciones tradicionales
que funcionan con un archivo de firmas de códigos maliciosos conocidos ya no
sean suficiente para proteger las máquinas de los usuarios. Estas soluciones
deben ser complementadas con tecnologías proactivas que detecten malware
desconocido y con herramientas online capaces de acceder a una base mayor de
conocimiento y, por lo tanto, de detectar más malware”

,explica Luis Corrons, Director Técnico de PandaLabs.

Respecto a la lista de los códigos maliciosos más activos durante la última
semana, el primer lugar está ocupado por Virtumonde, un software espía capaz
de registrar las pulsaciones del teclado.

Los siguientes nueve puestos de la lista están ocupados por ejemplares de
adware. El adware es un tipo de malware que se caracteriza por mostrar
mensajes publicitarios a los usuarios mediante ventanas emergentes, banners,
etc., dificultando así su navegación.

Top 10 TotalScan:

1. Spyware/Virtumonde
2. Adware/NaviPromo
3. Adware/Lop
4. Adware/VideoAddon
5. Adware/Comet
6. Adware/SaveNow
7. Adware/AdRotator
8. Adware/Gator
9. Adware/OneStep
10. Adware/IST

Además, el informe de esta semana de PandaLabs recoge información sobre dos
nuevos ejemplares de malware, el troyano Banker.KDW y el gusano Raiodin.A.
Esta semana el laboratorio de Panda Security también ha detectado varios
troyanos que emplean una nueva forma de ataques con rootkits.

Banker.KDW llega al equipo con la apariencia de un archivo de Windows Media
con el nombre “TIMVIDEOMENSAGEM“. Si el usuario lo ejecuta, el troyano
reproducirá una canción que varía en función de la versión del código
malicioso.

Este troyano está diseñado para robar claves bancarias. Para ello, cuando el
usuario intenta acceder a la página web de ciertas entidades bancarias,
Banker.KDW les muestra una pantalla que imita esa página. Si el usuario
introduce sus datos en ella, estos serán enviados por correo electrónico al
creador del troyano. Este código malicioso, además, también envía otros
datos como nombre de la máquina afectada, fecha y hora de infección, sistema
operativo que se utiliza.

Este troyano además, suelta en el equipo otros ejemplares de malware como el
rootkit Booto.C y la herramienta de hacking MailPassView.H.

El gusano Raiodin.A está creado para modificar la página web que se muestra
cuando se ejecuta Internet Explorer, Firefox u Opera por la correspondiente
a la página oficial de un político keniata.

Este gusano, además, impide al usuario acceder a ciertos programas como el
Administrador de tareas, el Editor de Registro de Windows o MSN Messenger.

Raiodin.A se propaga a través de correo electrónico. Para ello, envía un
mensaje con una copia de sí mismo a todos los contactos de la Libreta de
direcciones del usuario afectado. Además, crea una imagen llamada Hummer.jpg
que si es abierta muestra un cartel electoral de uno de los candidatos a la
presidencia keniata.

Esta semana PandaLabs también ha detectado varios troyanos (MBRtool.A,
MBRtool.B, MBRtool.C) que una incluyen una nueva técnica de ocultamiento
aplicada a rootkits que permite suplantar el master boot record (MBR), el
primer sector o sector cero del disco duro, por uno propio. Esto supone una
auténtica novedad que hace aún más difícil la detección de los códigos
maliciosos a los que van asociados los rootkits.

Via | Correo Electronico Panda Antivirus