Este informe se los tenia que haber posteado el viernes pero como andaba en un Datacenter, me fue imposible, así que aquí va.

MADRID, 23 de noviembre de 2007 – De todos los códigos maliciosos aparecidos esta semana, el informe de PandaLabs destaca los troyanos Nabload.COQ y Wallpaper.C y el gusano MSNWorm.BB.

El troyano Nabload.COQ se está distribuyendo en correos que incitan a ver un vídeo de YouTube que parodia el enfrentamiento entre el Rey de España y el presidente venezolano Hugo Chávez en la última Cumbre Iberoamericana. Si el usuario pincha sobre el link, estará introduciendo en su ordenador una copia del malware. Éste, si es ejecutado y para intentar engañaral usuario, mostrará un vídeo que parece de YouTube, pero, a la vez, estará descargando en el sistema otro malware (bien el troyano Banbra.FCK, o el gusano Banker.JSA).

Este segundo código malicioso capturará las claves de acceso de determinados servicios de banca online. Para conseguirlo, cuando se intente visitar la página legítima del banco, el gusano mostrará una falsa página web de autenticación, de tal modo que, si el usuario introduce en ella sus claves, éstas serán enviadas inmediatamente por mail al creador del malware.

Banker.JSA, además, se propaga a través de mensajería instantánea. Para ello, envía un mensaje a todos los contactos de MSN Messenger del usuario infectado con un link y un texto como: “vistes las fotos que se sacaron los chicos?” o “sabes de que se trata esto ?”, entre otros. Si el usuario que recibe el mensaje, pincha sobre el link, estará descargando en su sistema una copia del gusano.

Banker.JSA también está diseñado para copiarse en las carpetas de los programas P2P con nombres atractivos como “Call_Of_Duty_2_” o “The_Sims_Deluxe_” y así poder propagarse a través de este tipo de redes.

El troyano Wallpaper.C, por su parte, llega al equipo con el icono de una carpeta de Windows. Realiza copias de sí mismo en el sistema y crea varias entradas nuevas en el Registro de Windows. Una de ellas le permitirá ejecutarse con cada reinicio del sistema, mientras que otras le servirán para ocultar la opción de búsqueda del menú de inicio, el menú de opciones de carpeta y otras aplicaciones del sistema.

Wallpaper.C suelta una imagen que se establece como fondo de pantalla y que presenta el dibujo de unos animales.

Panda Security me manda una alerta sobre un correo falso de microsoft.

Madrid, 14 de noviembre de 2007 – PandaLabs ha detectado el envió de mensajes de correo electrónico que, afirmando provenir de la compañía Microsoft, tratan de instalar en el ordenador al backdoor Bandok.BO. El asunto de estos correos es: “Boletin de seguridad de Microsoft MS07-055 – Crítico”. El texto del mail, por su parte, reproduce información sobre uno de los parches publicados por dicha compañía, concretamente el que resuelve una vulnerabilidad en el visor de imágenes Kodak.

El mensaje ofrece a los usuarios la posibilidad de descargar la actualización a la que hace referencia pinchando en varios links. En caso de hacerlo, será redirigido a una página con el mismo aspecto que la original de actualizaciones Microsoft. Sin embargo, cuando proceda a realizar la descarga, lo que realmente estará introduciendo en su PC es una copia del troyano Bandok.BO. Para aparentar mayor fiabilidad, el archivo tiene el mismo nombre que el de la descarga legal de Microsoft.

“Estamos ante un ejemplo claro de ingeniería social. Se aprovecha de una actualización de seguridad para incitar a los usuarios a seguir los vínculos que provocarán la infección de las máquinas. Además, en este caso se utiliza un elemento del phishing, como es la sustitución de una página legal por otra similar pero que, realmente, está diseñada con fines maliciosos”

explica Luis Corrons, Director técnico de PandaLabs.

MADRID, 8 de noviembre de 2007- Según los datos recogidos durante la última semana en la web Infected or Not (http://www.infectedornot.com) por las soluciones online NanoScan y TotalScan, el 14% de los ordenadores analizados tenían malware activo, es decir, amenazas que en el momento del análisis estaban llevando a cabo acciones maliciosas.

Por su parte, el 25% del total de ordenadores analizados tenía malware latente, o lo que es lo mismo, amenazas que, simplemente, se encuentran en el sistema sin llevar a cabo acciones maliciosas.

Del total de ordenadores analizados, el 72% contaba con algún tipo de protección antivirus instalada. Sin embargo, esto no supone una garantía de protección total, ya que casi el 30% de los ordenadores protegidos se encontraban infectados con malware.

“Las protecciones antivirus tradicionales, que funcionan en base a un fichero de firmas, ya no son suficientes. Es necesario complementarlas tanto con tecnologías proactivas capaces de detectar amenazas analizando su comportamiento, como con auditorías periódicas con herramientas capaces de detectar mucho más malware”, afirma Luis Corrons, director técnico de PandaLabs, que añade: “Ejemplos de este tipo de herramientas son NanoScan y TotalScan que funcionan en base a un modelo de inteligencia colectiva. Así, este sistema no se ciñe a consultar un único archivo de firmas, sino que utiliza una enorme base de conocimiento acumulado en los servidores de Panda, lo que les permite detectar muchas más amenazas”.

Por su parte, los códigos maliciosos que más daños han causado durante esta semana, según los datos de la herramienta TotalScan, disponible en http://www.infectedornot.com han sido los adware Zango y Navipromo y el spyware Virtumonde.

En lo referente a los códigos maliciosos que han aparecido recientemente, PandaLabs destaca a los troyanos Astry.A y EbodaR.A.

Madrid, 2 de noviembre de 2007 – Según datos recogidos durante la última semana en la web Infected or Not (http://www.infectedornot.com) por las soluciones online NanoScan y TotalScan, el 30% de los ordenadores analizados que estaban protegidos con alguna solución de seguridad, contenían malware. En el caso de ordenadores sin ningún tipo de protección, la cifra se dispara hasta el 44%.

Los creadores de amenazas tratan de poner en circulación un gran número de amenazas e instalarlas de forma silenciosa. Con ello intentan que las compañías de seguridad no detecten su presencia y no elaboren las vacunas necesarias para neutralizarlas, explica Luis Corrons, Director Técnico de PandaLabs, que añade: Por ello, las herramientas de seguridad tradicionales deben ser complementadas con otro tipo de soluciones online, como NanoScan o TotalScan que, al tener acceso a todo el conocimiento acumulado en los servidores de Panda Security, son capaces de detectar más malware

En lo referente a los códigos maliciosos que han aparecido esta semana, PandaLabs destaca a los gusanos Bindo.A y Nuwar.HU.

Bindo.A es un gusano cuyo objetivo principal es propagarse y afectar al mayor número de ordenadores posible. Para ello, realiza copias de sí mismo con nombre como autoply.exe o MSshare.exe en las carpetas compartidas de programas P2P que el usuario tenga instalados.

Además de lo anterior crea un archivo AUTORUN.INF en todas las unidades en las que se copia, para así ejecutarse cada vez que se acceda a alguna de ellas.

La presencia de este gusano en el equipo es fácil de reconocer, ya que aumenta el número de ficheros compartidos en las carpetas compartidas de P2P que el usuario tenga en su equipo.
Además Bindo.A, modifica ciertos accesos directos del escritorio para que tengan dos direcciones de ejecución; la original del acceso y una nueva para ejecutarse al lanzar el programa original.

Por su parte, Nuwar.HU es una nueva variante del conocido gusano Storm Worm que aprovecha la fiesta de Hallowen para propagarse. Finaliza procesos de diversas herramientas de seguridad que puedan estar instaladas en el ordenador.

Además, suelta un rootkit en el sistema, llamado noskrnl.sys, y lo establece como servicio con el fin de que se ejecute automáticamente al iniciar sesión en el equipo.

Para propagarse, Nuwar.HU utiliza mensajes de correo electrónico con asuntos como Have a Happy Halloween everyone o Party on this Halloween, entre otros muchos. Dichos mensajes incluyen links a ciertas páginas de Internet que, al ser visitadas, muestran una animación de un esqueleto danzante. En caso de que el usuario descargue y ejecute el archivo con una supuesta animación que se ofrece en dicha web, el equipo se infectará con el gusano, convirtiéndose en un zombi al servicio de un usuario malicioso.

Más información sobre esta y otras amenazas en la Enciclopedia de Panda Security (www.pandasecurity.com/spain/homeusers/security-info/about-malware/encyclopedia/)

Madrid, 26 de octubre de 2007 – Esta semana Francia ha sido el país con mayor número de PCs infectados, según los datos recogidos en la web Infected or Not. Así, un 38,62% de los ordenadores protegidos (con una solución de seguridad activa y actualizada) de este país están infectados. Mientras, el porcentaje de ordenadores no protegidos que presentan malware en Francia es de un 55%.

España, con un 32,41% de ordenadores infectados entre los protegidos y un 46,08% entre los no protegidos, es el segundo país de la lista. El tercero es USA. En este país un 31,04% de los ordenadores que cuentan con alguna solución de seguridad instalada están infectados, mientras que ese porcentaje asciende hasta el 41,16% entre aquellos PCs que no están protegidos.

Pais % PCs infectados protegidos % PCs infectados desprotegidos
Francia 38,62% 55,74%
España 32,41% 46,08%
USA 31,04% 41,16%
Italia 29,68% 38,83%
México 29,17% 45,90%
Reino Unido 28,62% 35,63%
Portugal 27,26% 46,44%
Brasil 26,38% 35,36%
Alemania 25,13% 30,77%
Suecia 20,92% 35,74%

Fuente: Infected or Not

El PUP (Potencially Unwanted Program o programa potencialmente no deseado) MyWebSearch ha sido el código malicioso más frecuentemente encontrado en los ordenadores de todo el mundo esta semana. Está diseñado para instalar una barra de búsqueda en el navegador y modificar los resultados de las consultas realizadas en la Red.

El adware Zango, creado para mostrar mensajes publicitarios durante la navegación por Internet y el PUP FunWeb han sido los siguientes códigos maliciosos más activos esta semana.

En lo que se refiere al malware de nueva aparición, PandaLabs destaca esta semana tres gusanos: Nussack.A, Nama.A y FlashJumper.M.

Nussack.A está diseñado para llevar a cabo numerosas acciones maliciosas. Así, cuenta con funcionalidades de “keylogger” lo que le permite registrar tanto las pulsaciones del teclado como los “clicks” que se realizan con el ratón. Además, realiza varias acciones molestas como abrir y cerrar la bandeja del CD-DVD, mostrar un mensaje con el texto “I Love Kasun” o hacer parpadear la ventana de Internet Explorer.

Para propagarse, este gusano se copia en todas las unidades extraíbles del sistema desde llaves de memoria USB hasta cámaras de fotos o reproductores MP3.

No se porque pero ya no me estan llegando los informes de panda antivirus y pues hasta hoy me llego uno, pues mejor le cambie le titulo de informe semanal a informa antivirus Panda no tendra algo para la gripa ?¿ o NOD32 estoy enfermo!! .

MADRID, 19 de octubre de 2007- Un 31,74% de los usuarios que cuentan con una solución de seguridad instalada en su ordenador y que han analizado su PC esta semana en la web Infected or Not (http://www.infectedornot.com) estaban infectados con algún código malicioso. En el caso de los usuarios desprotegidos, la cifra de infectados aumenta hasta el 44,71%.

“Los datos recogidos en esta web demuestran que, pese a la sensación de seguridad de muchos usuarios, un buen número de ellos está infectado, incluso cuando tienen su ordenador protegido. La razón es que las soluciones de seguridad tradicionales ya no son suficientes para hacer frente al gran número de ejemplares nuevos puestos en circulación cada día, por lo que deben complementarse con soluciones online más potentes, como NanoScan o TotalScan“, comenta Luis Corrons, Director Técnico de PandaLabs.

De los nuevos ejemplares de malware aparecidos esta semana, PandaLabs destaca en su informe los gusanos UzaScreener.A, Winko.G y Destructor.A.

UzaScreener.A llega al equipo con la apariencia de una carpeta de Windows llamada My_Personal_Data. Si el usuario intenta abrirla, realmente estará ejecutando el gusano.

Éste código malicioso está diseñado para reiniciar el ordenador cada vez que se ejecuta. Cuando el equipo ha sido reiniciado diez veces, cambia el fondo de pantalla del equipo por uno nuevo en el que puede leerse: “U.Z.A. Operating system”. También modifica la imagen que se muestra al encender el ordenador y realiza otras acciones maliciosas como deshabilitar el administrador de tareas.

Como dato curioso, UzaScreener.A presenta el siguiente mensaje en su código: “U.Z.A O/S is a virus made by ANJ which is dedicated to his very sweet and lovely wife, AAZ…With lots of love.” (U.Z.A. O/S es un virus creado por ANJ que está dedicado a su dulce y querida esposa, AAZ…Con mucho amor).

El gusano Winko.G se propaga creando copias de sí mismo en todas las unidades disponibles que haya en el sistema, incluyendo los dispositivos extraíbles. Además, crea un archivo AUTORUN.INF, para ejecutarse cada vez que se acceda a alguna de estas unidades.

Este gusano descarga malware de las familias de troyanos Lineage y Gamania, diseñados para robar contraseñas de juegos online, desde distintas direcciones web. Además, crea varias entradas nuevas en el Registro de Windows y elimina las pertenecientes al servicio de informe de errores que se encarga de mostrar los mensajes de error del sistema.

Destructor.A, por su parte, está diseñado para copiarse en todas las unidades del equipo que infecte, de tal modo que, cuando el usuario acceda a alguna de ellas, este gusano se ejecute. Este código malicioso ejecuta varios procesos a la vez, lo que provoca que el sistema sea más lento. Además, modifica el fondo de pantalla cambiándolo por uno propio en el que puede leerse la palabra: “Destructor”.

Este gusano crea varias entradas en el registro de Windows que le sirven, entre otras acciones maliciosas, para ejecutarse con cada reinicio del sistema o cambiar la página de Inicio de Internet Explorer.

Esta semana, además, PandaLabs ha recogido información sobre los primeros casos de spam en formato MP3. Puede obtener más información sobre este tema en el blog de PandaLabs (http://pandalabs.pandasecurity.com/archive/MP3-spam.aspx).

Via | http://www.pandasoftware.es/

Madrid, 14 de septiembre de 2007 – Los troyanos LunchLoad.A y FakeGoogleBar.M son los dos ejemplares de malware de nueva aparición destacados por PandaLabs en su informe semanal. Éste también recoge información sobre los cuatro nuevos parches de seguridad publicados por Microsoft.

LunchLoad.A llega al sistema con el nombre backup2_36. Una vez ejecutado, suelta varios ficheros en el sistema que contienen la información necesaria para que el malware pueda identificarse ante su creador cuando establezca conexión con él. Para poder llevar a cabo esa conexión, este troyano se conecta a un servidor desde el que recibirá las órdenes pertinentes como qué malware descargar, cuando ejecutarlo, etc. En él dejará constancia, además, la dirección MAC de cada uno de los ordenadores que hayan sido infectados.

FakeGoogleBar.M está diseñado para modificar la barra de herramientas de navegación original de Google. Si el usuario no tiene ésta instalada, el archivo creará varios ficheros para poder llevar a cabo sus acciones igualmente. Esas acciones maliciosas comenzarán por la modificación de varias entradas del registro de Windows para poder inyectar una librería .dll en el navegador, de modo que cada vez que el usuario lo abra, el troyano se ejecute.