• Registrarse
  • Iniciar sesión


  • Página 1 de 3 123 ÚltimoÚltimo
    Resultados 1 al 10 de 25

    El virus de la policía aprovecha un exploit de Java "in-the-wild" el secreto su éxito

    Resumen del tema: El virus de la policía aprovecha un exploit de Java "in-the-wild" el secreto su éxito - El virus de la policía aprovecha un exploit de Java "in-the-wild" y el secreto su "éxito" Este malware está consiguiendo un alto nivel de infectados y notoriedad en medios de comunicación de toda Europa al ...

      
    1. #1
      FS-Admin
      Avatar de ElPiedra
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      37.766

      Mensaje El virus de la policía aprovecha un exploit de Java "in-the-wild" el secreto su éxito

      El virus de la policía aprovecha un exploit de Java "in-the-wild" y el secreto su "éxito"








      Este malware está consiguiendo un alto nivel de infectados y notoriedad en medios de comunicación de toda Europa al usar la imagen de los cuerpos del Estado para amedrentar al infectado. Hemos investigado la raíz del problema: ¿Con qué método se infectan los usuarios? ¿Qué hacen realmente para que el malware se ejecute en sus sistemas? ¿Por qué tanto "éxito"?

      Tras varios casos analizados en nuestro laboratorio de análisis forense, las investigaciones previas de Emiliano Martínez y las evidencias encontradas en los ordenadores infectados, hemos confirmado que se está utilizando activamente una vulnerabilidad en Java para conseguir ejecutar código.

      Las circunstancias coincidían en los casos afectados: visitas a determinados sitios de descarga directa o pornográficos (repletos de publicidad agresiva no controlada directamente por el servidor) y sistemas desactualizados.

      Según nuestros análisis, poco antes de la ejecución del troyano, se descargan ciertos objetos que quedan presentes en la caché de Java



      En la figura se observa la caché de Java, además de evidencias del malware: carpeta kodak (como se denomina en sus últimas versiones). Dentro, los archivos "ip.txt" y "pic.bmp". Este último contiene la conocida imagen de la policía nacional según el país. También se comprueba en la imagen que el usuario mantiene dos versiones de Java obsoletas y con numerosos problemas de seguridad.

      La vulnerabilidad inicial que desencadena el proceso, según ha investigado nuestro compañero Javier Rascón, se está utilizando ampliamente en kits de explotación de vulnerabilidades que se venden en el mercado negro como Scalaxy o Golfhole.


      Detección antivirus

      Para detener el ataque, los antivirus podrían haber detectado en primera instancia el intento de infección (el exploit) y en segunda instancia el ejecutable en sí. En ambos estadios del ataque, los niveles de detección por firmas han resultado insuficientes. Nuestros datos en VirusTotal confirman que, por firmas, los ficheros Java son muy poco detectados. Apenas 6 motores por firmas detectan el exploit y solo uno detecta el binario ofuscado.



      Con respecto al ejecutable en sí, los datos tampoco son muy alentadores. La inmensa mayoría de las muestras que hemos recibimos en VirusTotal a finales de febrero, eran detectadas por uno o dos motores la primera vez que fueron enviadas. Elevándose días después a aproximadamente hasta 26 los motores que reconocían el malware.

      Por tanto, en estos momentos actualizar los sistemas (en especial Java) es esencial para protegerse.




      El secreto del éxito


      El éxito de este malware se basa a nuestro entender en cuatro factores:


      • Una difusión profesional. Están aprovechando vulnerabilidades muy recientes (enero) en software popular (Java) y difundiéndolo en páginas muy visitadas (webs de descarga directa de material multimedia). Esto está resultando en una difusión masiva del malware puesto que los usuarios se infectan aparentemente sin haber ejecutado directamente ningún fichero.

      • Un malware "simple" y efectivo. El malware en sí no es "sofisticado" en los términos que manejamos hoy en día (con SpyEye y Zeus como referencia). Solo muestra en pantalla una imagen descargada de un servidor, y espera recibir órdenes. Aunque complejo, no se incrusta en el sistema de una manera especialmente enrevesada. Esto ayuda a que, unido a una detección pobre por firmas, los antivirus no lo detecten tampoco por la heurística de un comportamiento sospechoso.

      • La ingeniería social. Amenazar al usuario con actividades que realizan comúnmente (descarga de material multimedia, por ejemplo), ayuda a dar credibilidad a la estafa. En algunos foros "underground" (de los que esperamos hablar en próximos artículos) hemos observado que el creador se jacta de conseguir que aproximadamente un 1% de los infectados termine pagando. Con el nivel de infección conseguido en toda Europa, podemos imaginar lo lucrativo de la estafa.

      • Eludir antivirus. Las muestras recién llegadas a VirusTotal suelen ser poco detectadas. Están trabajando en eludir las firmas de forma notable, consiguiendo que las muestras "frescas" pasen muy desapercibidas.



      Fuente: Hispasec





      Artículo de interés:

      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Colaborador Avatar de Superlucas
      Registrado
      sep 2011
      Ubicación
      Argentina
      Mensajes
      15.321

      Re: El virus de la policía aprovecha un exploit de Java "in-the-wild" el secreto su é

      Hola elpiedra :

      Muy buena y completa la informacion No sabia que avast lo tomaba como un rootkit , me llamo la atencion las vurnebilidades en java que existen

      Duda sobre polifix:

      ¿Se realizara un actualizacion para eliminar las nuevas y viejas variantes de el virus de la policia?

      Saludos

    3. #3
      FS-Admin
      Avatar de ElPiedra
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      37.766

      Re: El virus de la policía aprovecha un exploit de Java "in-the-wild" el secreto su é

      Agregar dos cosas importantes:

      1.- Ya estamos trabajando en actualizar nuestra herramienta gratuita para eliminar el virus de la policía llamada PoliFix, para que detecte y elimine de forma automática esta nueva variante "Kodak"

      Mientras tanto recuerden que pueden consultar a nuestro equipo de expertos abriendo un nuevo tema en los sectores de "Virus y Spyware" o "HijackThis" para que los ayuden a eliminar este de forma manual.



      2.- Dentro de las recomendaciones que brindamos habitualmente para evitar infectar nuestro ordenador con cualquier tipo de malware, se suma en este caso una muy importante que es: Actualicen sus versiones de "Java Runtime Environment"



      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    4. #4
      Moderador Gral.
      Avatar de NeoByte
      Registrado
      ene 2005
      Ubicación
      España
      Mensajes
      9.258

      Re: El virus de la policía aprovecha un exploit de Java "in-the-wild" el secreto su é

      Hola

      Excelente información Marcelo,es interesante saber por dónde se complican la vida la peña sin comer ni beberlo hasta cierto punto,ya que si tuvieran todas las aplicaciones actualizadas,otro gallo les cantaría.

      Ahora esperemos que la gente de Oracle puedan encontrar una solución para estos problemas de su herramienta.Aunque la responsabilidad última recae sobre los usuarios finales,por tener las aplicaciones desatendidas y sin actualizar.


      Para los que desen actualizar el Java,en el Foro disponemos de una aplicación sencilla y fácil de manejar que se llama JavaRa.


      Con el JavaRa, se pueden eliminar versiones viejas y obsoletas,eliminando residuos innecesarios en la máquina. A la vez que se puede actualizar el Java a su última versión de forma semiautomática.






      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    5. #5
      Baneado Avatar de El linceperdido
      Registrado
      feb 2012
      Ubicación
      No estoy
      Mensajes
      293

      Re: El virus de la policía aprovecha un exploit de Java "in-the-wild" el secreto su é

      Gracias por la informacion
      Última edición por El linceperdido fecha: 14/03/12 a las 15:37:14

    6. #6
      FS-Admin
      Avatar de ElPiedra
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      37.766

      Re: El virus de la policía aprovecha un exploit de Java "in-the-wild" el secreto su é

      Cita Originalmente publicado por ElPiedra Ver Mensaje

      1.- Ya estamos trabajando en actualizar nuestra herramienta gratuita para eliminar el virus de la policía llamada PoliFix, para que detecte y elimine de forma automática esta nueva variante "Kodak"

      Mientras tanto recuerden que pueden consultar a nuestro equipo de expertos abriendo un nuevo tema en los sectores de "Virus y Spyware" o "HijackThis" para que los ayuden a eliminar este de forma manual.



      2.- Dentro de las recomendaciones que brindamos habitualmente para evitar infectar nuestro ordenador con cualquier tipo de malware, se suma en este caso una muy importante que es: Actualicen sus versiones de "Java Runtime Environment"

      Tal como lo habíamos anunciado en el punto 1, nuestra herramienta gratuita para eliminar el virus de la policía llamada PoliFix ha sido actualizada con las ultimas variantes reportadas de este malware, para poder limpiar sus equipos de forma automática con solo un clic





      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    7. #7
      Baneado Avatar de El linceperdido
      Registrado
      feb 2012
      Ubicación
      No estoy
      Mensajes
      293

      Re: El virus de la policía aprovecha un exploit de Java "in-the-wild" el secreto su é

      Gracias a infospyware
      Última edición por El linceperdido fecha: 14/03/12 a las 15:39:50

    8. #8
      metalco
      No Registrado Avatar de metalco

      Re: El virus de la policía aprovecha un exploit de Java "in-the-wild" el secreto su é

      Marcelo según pone la version de Java ese virus afecta a anteriores pero mi pregunta en la actual version seguiría ya que eliminas todo el cache y demás datos?

    9. #9
      Usuario Avatar de Arcangelo
      Registrado
      mar 2012
      Ubicación
      Malaga
      Mensajes
      1

      Re: El virus de la policía aprovecha un exploit de Java "in-the-wild" el secreto su é

      jojojojo Graciaaaaas !!!

    10. #10
      Usuario Avatar de warcano
      Registrado
      jun 2008
      Ubicación
      cualquiera
      Mensajes
      93

      Re: El virus de la policía aprovecha un exploit de Java "in-the-wild" el secreto su é

      Yo he conseguido eliminar este virus de un ordenador portatil de una amiga reiniciando en modo prueba de fallos, restaurando el sistema un dia antes de la infección, pasando el Ccleaner y después el MalwareBytes.

      Después de esto parece haberse solucionado, el ordenador arranca de forma normal, pero me queda la duda de si realmente se ha eliminado o si sigue infectado y está latente esperando su oportunidad.

      Saludos.

    Página 1 de 3 123 ÚltimoÚltimo