No será ni la primera ni la última vez que veamos cómo un sistema operativo GNU/Linux saca las castañas del fuego a un ordenador con Windows. En esta ocasión os mostramos la distribución Ubuntu Malware Removal Toolkit 1.2 que llega en formato LiveCD (puede crearse fácilmente un pendrive autoarrancable: LiveUSB) y que promete limpiar de virus y malware un ordenador Windows.

Pero va más allá ya que dispone de soporte RDP, navegación web con Firefox, recuperación de mal timestamp en unidades NTFS, etc. Os dejamos una pequeña lista de las bondades de Ubuntu MRT 1.2 y el enlace de descarga del mismo a continuación:

• Detectar y limpiar malware Windows directamente desde el LiceCD usando las mejores herramientas gratuitas.

• Sencillo de utilizar incluso para usuarios noveles.
• Integra scripts Nautilus personalizables que facilitan tareas como escaneo o chequeo del hash de ficheros o directorios.

Encontrar información online pudiendo navegar con Firefox desde el LiveCD.

Soporte de los protocolos de red Windows, es decir, Ubuntu MRT puede navegar por las redes Windows, resolver los nombres de red de equipos, montar carpetas compartidas e incluso usar RDP para controlar remotamente servidores Windows.

Se puede crear un pendrive LiveUSB de manera sencilla desde el LiveCD.

• Navegar y buscar archivos del registro de Windows, detectar problemas con el timestamp NTFS y mucho más…
• Buscar online los hashes de archivos con un sólo clic de ratón (Virustotal.com, Team Cymru MHR y otros servicios).
• Analizar el tráfico de red utilizando las herramientas ntop y BotHunter.

Puedes descargar Ubuntu MRT 1.2 gratuitamente gracias a su licencia GPLv3:

http://sourceforge.net/projects/ubuntu-mrt/

Por estas horas, los abogados de Mozilla están enviando un escrito para nada amistoso a las autoridades de una empresa del Reino Unido que escribe software espía para los espías del gobierno. El problema es que FinSpy, tal cual se conoce al mencionado programa, se disfraza como Firefox en el ordenador, según los detalles revelador por investigadores de The Citizen Lab, un proyecto de la Universidad de Toronto con respaldo del gobierno de su país que investiga la tecnología y los derechos humanos.

Como resulta una obviedad, esta acción viola de manera directa la marca registrada de Mozilla, y por ende sus responsables han decidido tomar cartas en el asunto, tal cual informaron en un comunicado. ‘Como proyecto de código abierto de confianza para cientos de millones de personas en todo el mundo, la defensa de las marcas registradas de Mozilla de este abuso es vital para nuestra marca, misión y éxito continuo’, fueron las palabras iniciales enviadas a los medios.

Del mismo modo, Mozilla dice que está enviando a la empresa del Reino Unido que hace FinSpy, conocida como Gamma International, una carta para que cese y desista de estas acciones de inmediato. FinFisher es el nombre de la orden de Gamma y el software de servidor de control que recoge los datos de vigilancia. La misma firma produce el FinSpy, el software espía que se ejecuta en la PC.

Gamma Internacional comercializa su software como un programa de ‘control remoto’ que las agencias gubernamentales pueden utilizar para tomar el control de las computadoras y husmear en los datos y las comunicaciones. En teoría, podría ser usado legítimamente para los esfuerzos de vigilancia por las agencias de lucha contra el crimen, pero en la práctica, ha surgido como una herramienta de espionaje desatado contra los movimientos disidentes que operan contra los regímenes represivos.

Investigadores del Citizen Lab han visto que se usa contra los disidentes de Bahréin y Etiopía. Y en un nuevo informe, que se estrenará hoy en día, que han encontrado en 11 nuevos países: Hungría, Turquía, Rumania, Panamá, Lituania, Macedonia, Sudáfrica, Pakistán, Nigeria, Bulgaria y Austria. Esto eleva el número total de países que se han manchado con FinFisher a 36.

Hasta la fecha, los investigadores del Citizen Lab han encontrado tres muestras de FinSpy que se hace pasar como Firefox, incluyendo una versión ‘demo’ del spyware. También encontraron que cuando se hace clic en el ejecutable que contiene el spyware y se abre la caja de diálogo de Windows ‘Propiedades’, esta contenía información que a menudo era idéntica a Firefox.

Sabemos que es común que los programas maliciosos ilegales pretendan ser o hacerse pasar por un programa legítimo, pero FinSpy es diferente. ‘Lo interesante en este caso es que tenemos algo que es malware, que hace lo que hace el malware, pero que es una empresa comercial que está vendiendo el programa’ indicaron los analistas. A su vez, Mozilla agregó que ‘es importante tener en cuenta que el spyware no está conectado con ningún producto Mozilla, incluyendo Firefox, en la forma en que está instalado o funciona en un ordenador o dispositivo móvil de una persona. Solamente nuestra marca y marcas comerciales son utilizados por el spyware como un método para evitar la detección y eliminación.’

Jugar en «modo Dios», viendo las cartas de los demás, es la manera más fácil de ganar al poker y el mayor temor de muchos hacia el juego online. El Instituto Nacional de Tecnologías de la Comunicación (Inteco) ha alertado precisamente de un virus troyano que podría atacar por ese flanco tan vulnerable a los jugadores que utilizan Windows, que son la mayoría. El indeseable intruso se llama Urelas. C.

Con Urelas. C no puedes esconder tus cartas

En su último boletín semanal, Inteco alerta sobre este virus, «que monitoriza varios juegos de poker online con el fin de poder robar información de las cartas del jugador y, de este modo, obtener un beneficio económico».

«El malware se instala en la máquina del usuario», añade el instituto, «y se ejecuta en cada reinicio del sistema, monitoriza los procesos de los juegos de poker más conocidos y recoge una captura de pantalla cuando estos se encuentran en primer plano, enviando información sobre las cartas de los usuarios a atacantes remotos. De esta forma, los usuarios perderán su dinero jugando contra los ciberdelincuentes».

El troyano puede llegar al sistema a través de web maliciosas o de redes P2P, o bien puede ser descargado por otro virus que haya infectado anteriormente el equipo. Además, puede establecer conexiones con sitios maliciosos remotos, descargar un nuevo virus, autoactualizarse y desinstalarse a petición del atacante remoto.

Estaba claro que con la popularización del juego en internet no podía pasar mucho tiempo sin que se produjera una amenaza de este tipo. En fin, mucho ojo y no dejes de utilizar programas antivirus. Por fortuna, para los que jugamos al ajedrez todavía no hay manera de realizar capturas traicioneras de pantalla de nuestro cerebro.

Apple contrató a una reconocida experta en seguridad, que trabajó en este tema en un equipo especial creado por Microsoft para Windows. Kristin Paget entró al equipo al hackear Windows Vista, cuando la compañía de Redmond ya pensaba que estaba listo para salir a la venta.

Su contratación revela que en Apple hay preocupación respecto a la seguridad en su ecosistema. Mientras Windows fue el que sufrió la mayor cantidad de los embates durante años, considerando que el 90% de los PCs del mundo usaban este sistema operativo, las cosas están cambiando y Mac OS X se está volviendo poco a poco un objetivo de los ataques.

El trabajo que realizará en Apple no ha sido revelado, algo que no es nuevo para Paget. Cuando trabajó en Microsoft, tuvo prohibido hablar sobre su trabajo durante 5 años. Cuando se venció ese plazo, dio una conferencia en el evento Black Hat de Las Vegas. Su trabajo con Windows Vista fue tan potente que Microsoft tuvo que retrasar la fecha de lanzamiento del sistema operativo para reparar los bugs que ella había encontrado. No es que eso salvara el destino de Vista, pero al menos sentó las bases para crear un Windows más seguro.

Hace cinco meses, Apple cambió su sitio web, dejando de afirmar que los Mac “no tienen virus”, como decía hasta entonces. La compañía parece estar consciente del tema de la seguridad, y es bueno que esté tomando medidas al respecto antes de que sea tarde.

El martes pasado, un ingeniero anti-spam de Microsoft, denunció en su blog personal que Android podría estar sufriendo un ataque que crearía una red de spam desde estos dispositivos, enviando correo no deseado desde cuentas Yahoo! en el terminal. Ahora Google niega que sean sus terminales y Microsoft dice que supuso que esta era la fuente.

Todo empezó cuando Terry Zink, de MSFT, detectó correo no deseado con la firma de “Enviado desde Yahoo! Mail en Android”, así que, ni corto ni perezoso, decidió escribir que había una red de dispositivos Android que se dedicaban al spam, infectados por alguna aplicación maliciosa. ¿Suena creíble, no? Pues sí, la debilidad en la seguridad de Android ha sido probada muchas veces subiendo aplicaciones con código malicioso a Google Play en 2h y por ello existen antivirus para la plataforma (pero también permitecosas maravillosas), pero asegurarse de las cosas que descubres debe ser siempre lo primordial.

Ahora Google dice que la evidencia no prueba que sea una red de androides las que envían los correos.

Nuestros analistas sugieren que los spammers están usando PCs infectados y firmas móviles falsificadas para saltarse los mecanismos anti-spam en la plataforma de correo electrónico que están usando.

Más importante aún, Zink y Chet Wisniewski, el que dio la voz de alarma y quien le apoyó, dicen ahora que no estaban seguros que se tratase de Android.

Por otro lado, Yahoo está investigando el asunto, aún cabe la posibilidad de que sean terminales con Android, pero como dice The Verge: las evidencias apuntan en esa dirección, pero estamos menos seguros…y confiamos menos en ellos.

Está claro que no hay sistema que no se vuelva vulnerable si hay quien lo estudia, analiza y busca sus agujeros de seguridad. Hasta ahora siempre la víctima número uno de todos los ataques, virus y vulnerabilidades ha sido Windows, entre otras razones por su gran popularidad y cantidad de usuarios, y quizá por ser un sistema menos seguro que Unix/ Linux.

Y precisamente un buen reclamo comercial bastante útil y hasta ahora utilizado por Apple, con su sistema OSX con núcleo Unix , era que era invulnerable a los virus. Un eslogan atractivo, impactante y  que era una verdad a medias. A medias porque como hemos dicho no hay sistema que sea totalmente inexpugnable y libre de ser atacado.Porque está desarrollado por humanos, y no existe la perfección.

En Apple se han puesto las pilas, todo hay que decirlo, y se han dado cuenta de que el panorama está cambiando. Tras conocerse la infección de más de 650.000 equipos Mac de un troyano llamado Flashback, y la aparición de otro aún más peligroso llamado SabPub desde luego ya no se puede afirmar como estaban haciendo hasta ahora de que OSX es un sistema invulnerable. La popularización que ha experimentado Mac con toda su gama de portátiles y sobremesa ha hecho que lo que hasta ahora parecía un sistema impenetrable sea ahora un objetivo más de crackers y otras alimañas de la red con oscuras intenciones. Hay “negocio” porque hay una masa crítica de usuarios y estos ya no son tan especialistas o técnicos.

Y lo destacaban en la zona de razones para adquirir un Mac, que ahora se ha transformado a una versión más light y que no deja lugar a dudas: El sistema operativo de Apple también es vulnerable a virus y malware. También acompañan la imagen con un par de párrafos técnicos en los que explican cómo un Mac está diseñado para evitar los ataques y que nuestra información está a salvo. Está claro que los dos factores, popularización y primeros problemas de seguridad importantes en su sistema, han hecho a Apple plantearse seriamente la afirmación y modificarla acorde a la actualidad.

Sea problema de Mac, o de aplicaciones de terceros que corren en el sistema, lo que está claro es que no hay sistema que se pueda vender bajo la máxima de inmune a los problemas de seguridad. Quiero recordar como siempre, que el mejor sistema de seguridad del que podemos disponer es de sentido común, tener el sistema actualizado a la última versión y ser consciente de lo que uno hace con su equipo. ¿A ustedes que les parece? ¿Hace bien en rectificar Apple?

Se llama NotCompatible y se difunde través de páginas web fácilmente vulnerables en forma de actualización de seguridad.

En lo que es una prueba contundente de que las técnicas de malware son cada vez más sofisticadas, los investigadores de Lookout han descubierto un nuevo troyano para dispositivos móviles gobernados por el sistema operativo Android quen se está extendiendo a través de páginas web y ataques “drive-by download”.

Ha sido bautizado como NotCompatible y se trata del primer virus para Android capaz de difundirse de esta manera. En concreto, engaña a los usuarios haciéndose pasar por una actualización rutinaria del sistema y, si bien en su estadio actual no parece hacer demasiado daño al smartphone o tablet atacado ni recolectar datos privados, mutaciones potenciales podrían ser aprovechadas para causar estragos.

Por ejemplo, “podría ser utilizado para obtener acceso ilícito a redes privadas, convirtiendo un dispositivo Android infectado en un Proxy”, tal y como explica la compañía especialista en seguridad móvil en su blog. Lo que puede ser especialmente perjudicial de alcanzar redes empresariales.

Cuando una persona carga la página infectada desde el navegador de Android, automáticamente se abre una ventana independiente que desencadena la descarga del código malicioso. Esta aplicación, disfrazada como parche de seguridad solicitará instalación manual. Y, una vez completado este requisito, NotCompatible gana acceso al sistema.

En base a las investigaciones iniciales, ya se han detectado una decena de sitios web comprometidos por el malware como gaoanalitics.info y androidonlinefix.info. “Sin embargo, éstos parecen mostrar poco tráfico por lo que esperamos que el impacto total de usuarios de Androidse mantenga bajo”, comentan los expertos de Lookout. Al menos, de momento.

El ataque de los ciberdelincuentes cada vez es más frecuente y pocos son los que se salvan de las actividades de los hackers. Según afirman desde Symantec, compañía dedicada a la seguridad informática, la organización activista Anonymous habría sufrido un ataque de DDoS (ataque de denegación de servicio) durante sus actuaciones tras el cierre de Megaupload.

Como desvela Symantec, empresa creadora del famoso antivirus Norton, ese ataque proviene de una persona anónima que modificó la herramienta ‘Slowloris’, usado en ataques de denegación de servicio, y al cual añadió el virus troyano Zeus, capaz de robar contraseñas de correos electrónicos y cuentas bancarias, para aumentar su efectividad.

Este malware, de gran peligrosidad para las redes infectadas, permite al hacker no sólo robar los datos mencionados sino de igual manera crear una red invisible de cara al afectado para atacar mediante denegación de servicio a cualquier objetivo que se les plantee.

Desde Symantec se ha confirmado que la versión original de ‘Slowloris’ no tiene ningún tipo de malware, sin embargo la mayoría de usuarios que descargaron el parche en ese momento se encuentran con un problema real ya que el troyano es de los más activos que circula por la red.

De momento esta acción no ha sido confirmada desde Anonymous, ya que organización ha afirmado en su cuenta de Twitter que los hechos desvelados por la compañía de seguridad son totalmente falsos: “This post from @Symantec about@YourAnonNews’s spreading the DDoS hijacking trojan is wrong & libelous to say the least.” (El post difundido por Symantec sobre el ataque de denegación de servicio a Anonymous es cuanto menos, erróneo y deliberado).

A pesar de estas declaraciones realizadas desde Anonymous es difícil confirmar si ha sucedido o no este suceso. La entrada a la organización es totalmente voluntaria y eso provoca que ciertos integrantes no tomen las precauciones necesarias a la hora de realizar alguna actividad y sean víctimas de troyanos en sus dispositivos.

Un rápido aviso para los usuarios de Avast, si tienes problemas abriendo Steam tal vez la culpa es de tu protección contra el malware. Por más de una hora en la mañana del domingo, el antivirus gratuito accidentalmente etiquetó a Steam como un troyano ejecutable y lo movió a cuarentena. Para ser más específicos, SteamService.exe fue reconocido falsamente como Win32:Trojan.gen, evitando que el cliente del distribuidor corra.

La compañía de seguridad Checa corrigió el problema en menos de 90 minutos, eliminado la definición de virus responsable por el error. No esta claro como la definición fue lanzada en el primer lugar. Aunque el problema fue solucionado rápidamente, tal vez tengas que restaurar el archivo de la cuarenta de Avast que hacer que las cosas regresen a la normalidad (debes encontrar la opción “Virus Chest” en la pestaña de “Maintenance”).

Actualizar las definiciones de Avast y/o restaurar los archivos afectados debería funcionar para la mayoría de las personas, pero algunos usuarios se han quejado ya que el proceso ha sido un poco más complicado para ellos – requiriendo una reinstalación completa de Steam. Eso parece extremo pero si tienes que tomar ese camino, asegúrate de respaldar tu carpeta Steamapps (Steam\steamapps) para que no tengas que volver a descargar todos tus juegos.

Los falsos positivos para programas populares no son una rareza. Hace unos meses, el antivirus gratuito de Microsoft identifico al navegador Google Chrome como Zeus, un troyano banquero. Miles de usuarios se vieron afectados por ese malentendido, incluyendo algunas empresas y colegios. En abril del 2010, una actualización de McAfee dio un falso positivo para svchost.exe, bloqueando a XP en miles de computadoras corporativas.

Apple ha bloqueado como usuario al hacker que descubrió un agujero de seguridad de su tienda. Charlie Miller asegura que estaba haciendo una investigación sobre las vulnerabilidades del servicio.

La compañía Apple ha bloqueado al programador informático que introdujo un troyano entre las aplicaciones que ofrece la App Store. En apariencia se trataba de una aplicación inocente, llamada Instastock, pero incluía el código para descargar y ejecutar comandos desde un servidor ajeno.

Charlie Miller, autor de la aplicación, defiende que el producto formaba parte de una investigación para conocer el nivel de control que realiza Apple de los productos que comercializa a través de su tienda y denunciar sus posibles vulnerabilidades.

El hacker considera que la compañía ha cometido un error al expulsarle y bloquearle para que siga trabajando con el código de iOS. Miller ha colgado un video explicando cómo lo hizo para que la compañía tome medidas para que no se repitan situaciones similares.

ALISTAR AL ENEMIGO

La compañía que fundó Steve Jobs no siempre ha actuado de la misma manera. El hacker australiano, Ashley Towns,  que introdujo el primer virus en el teléfono iPhone, fue contratado por Apple en noviembre de 2009, a través de la empresaMogeneration, para desarrollar programas específicos para el aparato.

En su caso, se trataba de un gusano que instalaba una fotografía del cantante de los años 80 Rick Astley como fondo de pantalla. El programador aseguró qu eno tenái intenciones maliciosas y, de hecho, facilitaba las claves para desactivarlo.