DISI 2009 criptored, Universidad Politécnica de Madrid.

Cuarto Día Internacional de la Seguridad de la Información DISI 2009, celebrado el 30 de noviembre de 2009 en la EUITT de la UPM y organizado por la Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información CAPSDESI.
Intervienen D. José Manuel Perales Vicerrector de TI de la UPM, D. Ramón Capellades Subdirector Técnico de Applus+, D. César Sanz Director de la EUITT, D. Jorge Ramió Director de la Cátedra UPM Applus+.

DISI 2009_2: Hashing Aleatorio: Firmas Digitales Seguras sin Resistencia a Colisiones

DISI 2009: Hashing Aleatorio: Firmas Digitales Seguras sin Resistencia a Colisiones D. Hugo Krawczyk, IBM Research, Estados Unidos.
Ponencia inaugural en el Cuarto Día Internacional de la Seguridad de la Información DISI 2009, celebrado el 30 de noviembre de 2009 en la EUITT de la UPM y organizado por la Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información CAPSDESI.

Lee más »

marzo 5, 2010 Publicado por portalhispano | Ciencia, Internet, Seguridad informatica, Software, Technology, Tecnologia, Telecomunicaciones, Universidad | Criptografia, Criptored, hackers, Internet, malware, Seguridad informatica, spyware, Technology, Tecnologia, Universidad Politecnica de Madrid | Dejar un comentario

Sistema operativo sin virus Google Chrome OS

Una nueva arquitectura de seguridad que eliminará los virus, malwares, troyanos y otros males de la red más el uso provechoso de un kernel Linux constituyen la carta secreta de Google para enfrentar cara a cara a Microsoft en la batalla de los sistemas operativos, cuando sea lanzado dentro de un año.

“Estamos completamente abocados en un nuevo diseño de la arquitectura de seguridad de un sistema operativo en el que los usuarios ya no tengan que enfrentar a los virus y malware, como también realizar actualizaciones de seguridad”. Esto lo dijo Linus Upson, director de ingeniería de Google, en un artículo publicado en la revista  New Scientist, dejando en claro que el sistema operativo Chrome OS dejará obsoleto a los códigos malignos actuales.

Basado en un kernel de Linux, la mayor parte del sistema operativo Chrome OS serán ejecutados en la nube, lo que implicará descargar menos elementos en la computadora personal del usuario, una característica que según Linus Upson, beneficiará. La razón está en que a la hora de hacer las descargas, “la nube pacheará con mayor rapidez”, según coincide Paul Jackson, analista de Forrester Research, aunque para él ésto no significa que los usuarios de Chrome OS deberán despreocuparse para siempre de los virus, sino que todo lo contrario: sostiene que ese sistema operativo será vulnerable a los ataques hechos contra el navegador o en su defecto, contra el kernel de Linux.

Robert Caunt, un analista de CCS Insight en Londres, cree en las palabras de Linus Upson, al afirmar que Google tiene un buen historial en materia de seguridad. “El filtro del motor de búsqueda y de detección de phishing es bueno. Ellos saben lo que es necesario hacer”…[]

Fuente www.diariouno.com.ar

julio 21, 2009 Publicado por portalhispano | Google, Linux, Microsoft, Seguridad informatica, Sistemas Operativos, Software, Technology, Tecnologia | Google, Google Chrome OS, malware, Seguridad informatica, Tecnologia, Virus | 3 comentarios

Por fin Microsoft publica el esperado parche para la vulnerabilidad de Internet Explorer

Microsoft ha publicado la actualización para su navegador Internet Explorer. La instalación inmediata de este parche es imprescindible, ya que la vulnerabilidad es crítica y está siendo aprovechada de forma activa por atacantes.
El problema puede permitir al atacante la ejecución de código arbitrario, sin interacción del usuario con tan solo visitar una página web comprometida. La vulnerabilidad, que afecta a todas las versiones de Internet Explorer, reside en el manejo de etiquetas XML. Además se ha comprobado que el fallo lleva tiempo siendo activamente aprovechado por webs para instalar malware.

Según algunos medios el número de ordenadores infectados puede llegar a los dos millones, a través de más de 100.000 sitios web legítimos (aunque la mayoría de ellos chinos) comprometidos para aprovechar la vulnerabilidad e infectar automáticamente a los visitantes.

El fallo que se hizo público la semana pasada, justo el día antes de la publicación mensual de boletines, ha obligado a Microsoft a trabajar contrarreloj y en apenas nueve días ha publicado un boletín fuera de ciclo (el MS08-078) en el que anuncia la esperada actualización. Hay que tener en cuenta que en este tiempo se ha desarrollado, corregido, probado, evaluado y distribuido la actualización para todas las versiones de IE, en todas las plataformas e idiomas posibles (más de 300 versiones diferentes según Microsoft). Aunque todo esto no impide que en el futuro pueda detectarse algún problema con el parche, debido a las prisas con que se ha llevado a cabo todo el proceso.

La actualización está disponible a través de los medios habituales, desde Windows Update o a a través de los enlaces de descarga disponibles en el boletín MS08-078:
http://www.microsoft.com/spain/technet/security/bulletin/ms08-078.mspx
Los sistemas configurados para la instalación automática de las actualizaciones ya han debido actualizarse.

Fuente Hispasec.com

Boletín de seguridad de Microsoft MS08-078 – Crítico
Actualización de seguridad para Internet Explorer (960714)
http://www.microsoft.com/spain/technet/security/bulletin/ms08-078.mspx

diciembre 18, 2008 Publicado por portalhispano | Hispasec, Informatica, Internet, Microsoft, Seguridad informatica, Technology, Tecnologia | Internet, Internt Explorer 7, malware, Microsoft, Seguridad informatica, Technology, Tecnologia | Dejar un comentario

0-day en Internet Explorer 7

Un día antes del segundo martes del mes de diciembre un mensaje en un foro chino hacía pública una vulnerabilidad en Internet Explorer 7 -se acredita descubierta al grupo chino ‘KnownSec’-. No existe parche oficial disponible, no necesita interacción por parte del usuario y permite, si consigue explotar el fallo, ejecutar código arbitrario con los permisos del usuario.
Estamos por lo tanto ante un 0-day que solo ha tardado unas pocas horas en ver como se multiplicaban los exploits públicos capaces de infectar a un usuario con solo visitar un sitio web malicioso. Eso sin tener en cuenta la probable explotación semanas atrás de una pieza, que con tales características, cotiza muy alto en el mercado del malware.

La vulnerabilidad reside en el manejo de etiquetas XML que efectúa Internet Explorer. En los análisis de algunos exploits se ha hallado un vector común de ataque. Sin entrar en detalles, usa XML para incluir código HTML a la vez que provoca una corrupción de memoria que es aprovechada con javascript para volcar una cadena que contiene el shellcode, el cual descargará un binario que a su vez descarga componentes que ensamblan un troyano.

Microsoft ha informado que se encuentra trabajando en una solución y que en breve se podrá disponer de una actualización, probablemente será, sin no cambian las cosas, el boletín MS08-078. Como factor que ayude a mitigar el riesgo recomienda activar DEP (Data Execution Prevention), ya que por defecto se encuentra desactivado en Internet Explorer, para prevenir la ejecución de código en zonas de memoria no marcadas como ejecutables…sigue

Fuente Hispasec.com

Microsoft
“Vulnerability in Internet Explorer Could Allow Remote Code Execution”
http://www.microsoft.com/technet/security/advisory/961051.mspx

Dancho Danchev
“IE7 XML parsing zero day exploited in the wild”
http://blogs.zdnet.com/security/?p=2283

BreakingPoint Labs
“Patch Tuesdays And Drive By Sundays”
http://www.breakingpointsystems.com/community/blog/patch-tuesdays-and-drive-by-sundays

diciembre 13, 2008 Publicado por portalhispano | Hispasec, Internacional, Microsoft, Seguridad informatica | Bugs, Hispasec, Internet Explorer 7, malware, Microsoft, Seguridad informatica, Virus | Dejar un comentario

Microsoft baja al barro y limpia un millón de ordenadores en nueve días

Su Malicious Software Removal Tool ataca directamente a los falsos antivirus, que se aprovechan de los agujeros de seguridad en los sistemas Windows para tomar control del PC y pedir luego un rescate por devolver el control

La última herramienta de Microsoft en su tibia lucha contra los agujeros de seguridad de los sistemas operativos de la familia Winddows, que son aprovechados maliciosamente por centenares de programadores en todo el mundo, ha conseguido un éxito inédito.

Casi un millón de PCs asegura haber limpiado la compañía de Redmond con su Malicious Software Removal Tool (MSRT) en los nueve días posteriores a su lanzamiento, ejecutado el pasado 11 de noviembre como parte de última gran actualización de seguridad.

Bombero pirómano

La información, comunicada por Microsoft en su blog oficial en materia de malware, y de la que se hace eco PCWorld, señala que MSRT purgó a 994.000 máquinas de un conjunto de parásitos englobados bajo la marca “W32/FakeSecSen”, y que se caracterizan por actuar como verdaderos bomberos pirómanos.

Disfrazados de antivirus y similares, estos programas en realidad sirven para bloquear el ordenador del usuario, o para torturarle con centenares de ventanas emergentes.

Creado el incendio, acuden a apagarlo, y recomiendan el pago de una cantidad variable (que suele oscilar en torno a los 40 euros) a cambio de que todo vuelva a la normalidad…[]

Via adn.es

noviembre 26, 2008 Publicado por portalhispano | Internet, Microsoft, Seguridad informatica, Software | malware, Microsoft, Seguridad informatica, Windows | Dejar un comentario

Phishing a entidades registrantes: ¿Necesitan los atacantes nuevos dominios?

Desde ayer se está produciendo una verdadera avalancha de correo basura que simula ser de registrantes reputados como Enom y Networksolutions. Bajo la excusa de que el domino está a punto de caducar, su objetivo es robar las contraseñas de clientes de registrantes y por tanto adueñarse de sus dominios. Ayer además se dio a conocer que ICANN ha retirado la licencia a Estdomains, uno de los registrantes supuestamente aliados con el mundo del malware… ¿Será que los atacantes andan escasos de dominios?

Se ha observado una avalancha de correos de tipo phishing. Esta vez no intentan simular portales de entidades bancarias, sino que están destinados a simular registrantes reputados de dominios como Enom y Networksolutions. El asunto del correo suele ser: “Attention: domain will be expired soon.” En su interior en un cuidado inglés y en texto plano se avisa al usuario de que su domino está a punto de caducar y que debe visitar la web del registrante e introducir su usuario y contraseña para renovar el dominio. En otras ocasiones en el correo se habla de que a causa de un corte temporal en el servicio, es necesario que el usuario se autentique.

En cualquiera de los casos el enlace lleva a una página que simula fielmente el portal de Enom o Networksolutions. Los dominios (adquiridos para la ocasión y camuflados en dominios de tercer nivel) bajo los que se alojan estos phishing suelen tener la estructura:
www.enom.com.comXY.biz, o www.networksolutions.com.sysXY.mobi/ siendo XY números cualesquiera. Aunque esto puede cambiar en cualquier momento…

Hacía tiempo que no se observaba una campaña tan virulenta contra dueños de domino. Por otro lado (o quizás está relacionado), el pasado martes ICANN eliminó a Estdomains de su lista de registrantes acreditados: ya no pueden ejercer más su función. Estdomains siempre ha estado bajo la sospecha de ser un registrante que se lleva bien con el crimen organizado en Internet. Una buena parte de los dominios contratados en esta empresa han servido y sirven para la difusión del malware 2.0 y todo tipo de actividades ilegales. Siempre se les ha acusado de ser excesivamente “tolerantes” con estas prácticas. ICANN en un movimiento sin precedentes (que ha sido muy aplaudido), ha anunciado en un comunicado público que debido a la eterna sospecha sobre Estdomains (ellos siempre han negado que toleren el abuso de sus dominios), les retira la licencia. Aunque Estdomains ha presentado alegaciones (en estonio) y el proceso está temporalmente parado en espera de que ICANN las estudie. El dueño de Esdomains ha estado en prisión anteriormente por fraudes con tarjetas de crédito…sigue

Source hispasec.com

ICANN
http://www.icann.org/correspondence/burnette-to-tsastsin-28oct08-en.pdf

octubre 31, 2008 Publicado por portalhispano | Dominios, Hispasec, Internet, Seguridad informatica, Technology, Tecnologia | Add new tag, dns, Dominios, Hispasec, ICCAN, Internet, malware, Phishing, Seguridad informatica, Virus | Dejar un comentario

Último parche de Microsoft: ¿Sufriremos otro Blaster?… No.

El día 23 Microsoft publicó un parche fuera de su ciclo habitual, de carácter crítico, en el que se solucionaba un problema de seguridad en el servicio Server de las distintas versiones del sistema operativo Windows. Avisó con un día de antelación. Hoy, el exploit ya es público. Las características de la vulnerabilidad hacen que sea “ideal” para ser aprovechado por un gusano tipo Blaster, que se convirtió en epidemia en 2003. ¿Podría pasar lo mismo con este fallo?

En julio de 2003 se descubre el desbordamiento de memoria intermedia en la interfaz RPC de sistemas Windows que, a la postre, permitiría la aparición del fatídico gusano Blaster. Otro fallo parecido un año después propició el nacimiento de Sasser, otro popular gusano. El último parche publicado por Microsoft de forma urgente, el MS08-067, tiene las mismas características: un desbordamiento de memoria intermedia en el procesamiento de peticiones RPC (Remote Procedure Call) que efectúa el servicio Server. ¿Se creará otro gusano parecido?

Lo que hace que esta vulnerabilidad sea especialmente peligrosa, es que es explotable de forma remota sin interacción del usuario: un atacante envía una petición especialmente manipulada a un puerto, y ya puede ejecutar código en el sistema con los máximos privilegios. Candidato ideal para un gusano “como los de antes”. De ahí que Microsoft, con buen criterio, se haya lanzado a romper su ciclo habitual. Quizás motivado porque el fallo ha sido descubierto cuando ya se estaban produciendo ataques muy concretos. No a gran escala, pero sí que se han detectado incidentes que demostraban que los atacantes conocían el problema y lo estaban aprovechando en secreto. La última vez que Microsoft publicó una actualización de seguridad fuera de su ciclo habitual de actualizaciones fue el 3 de abril de 2007.

El último problema de este tipo (explotable enviado peticiones a un servicio) se vio hace más de dos años. Lo trataba el boletín MS06-040 y también afectaba al servicio Server (de hecho este nuevo boletín lo reemplaza). Se hizo público el exploit y hubo malware que lo aprovechaba, pero no fue epidemia. En este caso pensamos que tampoco se convertirá en el problema que antaño suponían estas vulnerabilidades. Por varias razones.

¿Por qué creemos que el potencial gusano no se convertirá en epidemia?

Microsoft cometió enormes y numerosos fallos de seguridad de este tipo en el pasado. Los gusanos de infección masiva campaban a sus anchas. Pero intentó solucionarlo a través de varios métodos. Primero con su nueva estrategia de seguridad anunciada hacia 2002. Desde entonces (tarde quizás) la seguridad sería prioridad. El problema es que, sobre una base tan débil, los resultados han tardado en observarse… pero están ahí. Por ejemplo, sobre Vista y Windows 2008 esta última vulnerabilidad no es crítica sino sólo “importante”, que no es poco. En las últimas versiones de Windows el atacante debe estar autenticado para poder hacer que el exploit ejecute código. Si no, sólo se provocará una denegación de servicio.

Con el Service Pack 2 de Windows XP se activa el cortafuegos entrante por defecto. Esto mitiga enormemente las posibilidades de explotación de este tipo de fallos. De hecho, desde que el Sevice Pack fue lanzado en agosto de 2004, el malware se trasladó al navegador. Al no poder aprovechar fallos en los servicios por culpa del cortafuegos, necesitaban colarse en los sistemas de otra forma, e Internet Explorer sufrió la consecuencias. Todavía hoy es la forma favorita del malware de ejecutar código. Por si fuera poco, hoy en día, los usuarios están más que nunca detrás de un router casero que protege, en principio, los puertos del ordenador…sigue

Hispasec.com

octubre 26, 2008 Publicado por portalhispano | Informatica, Internet, Microsoft, Seguridad informatica, Software | Blaster, Hispasec, Internet, malware, Microsoft, Seguridad informatica, Virus, Windows | Dejar un comentario

Aumenta la difusión de falsos buscadores

MyWebSearch se encuentra entre los tres códigos maliciosos más difundidos en el mes, lista encabezada por OnLineGames, que persigue el robo de claves de usuarios de juegos y aplicaciones en red.

ESET ha informado que durante el mes de septiembre se elevaron los niveles de detección del adware MyWebSearch, al tiempo que se siguen produciendo ataques contra los servidores web, con el fin de modificar las páginas para que los usuarios accedan a direcciones maliciosas.

Win32/Toolbar.MyWebSearch es un adware que, al ser instalado, agrega una barra en el navegador que permite realizar búsquedas en Internet a través de distintos motores de varios buscadores. En principio esto parece positivo para el usuario. Sin embargo, detrás de los supuestos beneficios, esta aplicación potencialmente no deseada (Greyware) modifica la página de Inicio del navegador, instala otras aplicaciones no solicitadas, consume recursos innecesarios del sistema y aumenta el tráfico de Internet, ralentizando notablemente la navegación del usuario. Además, se generan perfiles del usuario con sus hábitos de navegación, para enviarle publicidad, entre otras acciones perjudiciales.

“La tentación de tener una herramienta como MyWebSearch es muy grande, ya que se supone que aporta numerosas ventajas, y además es gratis. Los usuarios ávidos de aplicaciones gratuitas tienden a instalarla sin conocer los peligros que entraña”, explica Fernando de la Cuadra, director de Educación de Ontinet.com, distribuidor en exclusiva de los productos de seguridad de ESET en España.
Durante el último mes se detectaron también ataques a los servidores web que utilizan la plataforma Apache, aprovechando distintas vulnerabilidades en el equipo para modificar el archivo ‘.htaccess’, que se encarga, entre otras cosas, del redireccionamiento web. Con la modificación de este archivo, el malware consigue que cuando un usuario entre a una página web afectada, sea redirigido instantáneamente hacia una página maliciosa, en vez de la real…sigue

LEER mas en diarioti.com

octubre 3, 2008 Publicado por portalhispano | Internet, Seguridad informatica, Software | Internet, malware, MyWebSearch, Seguridad informatica | Dejar un comentario

Ocho de cada diez ordenadores de hogares españoles están infectados

LEÓN.- Ocho de cada diez ordenadores de los hogares españoles están infectados por virus informáticos, en una tendencia que sigue al alza, según revela el primer Informe del Grupo de Análisis y Estudio de la Seguridad de la Información y la e-Confianza, del Instituto Nacional de Tecnologías de la Comunicación (Inteco).

El informe detecta un aumento significativo en el ‘malware’ (‘software’ malicioso) introducido por los atacantes para controlar remotamente equipos informáticos con fines delictivos (troyanos), así como aquellos que controlan la información generada por los usuarios, como contraseñas, información bancaria, etc. (espías).

Para Enrique Martínez, director general de este instituto con sede en León, los niveles de e.seguridad en España deben aumentarse, en general, “creando una cultura proactiva” en la materia “para responder adecuadamente ante los vertiginosos cambios en la naturaleza de las amenazas que surgen en la red”.

Esa preocupación, deba acentuarse más, según el director del Inteco, tanto por los usuarios de pymes como particulares, que suelen quedar tranquilos “confiando en antivirus, cuando el problema de sus ordenadores son los “troyanos”, que se introducen en los sistemas para recabar datos o controlar el ordenador anfitrión.

Según el informe de Inteco, en 2007, el 95% de las compañías con más de 10 empleados de la Unión Europea tenía conexión a Internet y la mayoría de ellas contaba con portal web, en tanto que la informática y las comunicaciones “se han convertido en una parte esencial de la vida de los ciudadanos”.

Dos indicadores: en 2007, el 45% de los hogares europeos disponía de conexión de banda ancha a Internet, y en ese año, la tasa de penetración de la telefonía móvil en España se situó en el 110,5%…sigue

LEER mas en elmundo.es

septiembre 28, 2008 Publicado por portalhispano | Internet, Seguridad informatica | España, Internet, malware, Seguridad informatica, Virus | Dejar un comentario

La lista de tarifas de los piratas informáticos

Symantec incluye en su informe semestral sobre seguridad informática una lista de tarifas para los principales ataques

Toda la información personal de un usuario puede venderse por 15 dólares.

Los piratas informáticos a diario que ponen en riesgo la seguridad en internet han puesto precio a tus datos personales. El último informe de Symantec sobre las principales amenazas de la Red contiene una tabla en el que se especifican estas tarifas.

Los spammers pagan hasta 10 dólares por cada dirección de correo

La lista de precios, sobre la que alerta hoy el sitio especializado en seguridad Internet Storm Center, incluye datos como las cuentas bancarias o las tarjetas de crédito. Por las primeras, los hackers piden a alguien dispuesto a utilizarlas con fines fraudulentos entre 10 y 1.000 dólares. Por el número de una tarjeta se solicita mucho menos, entre 0,40 y 20 dólares.

Las cuentas de eBay se cotizan a entre uno y ocho dólares y las direcciones de correo electrónico, que son utilizadas luego para los envíos masivos de mensajes, pueden costar hasta 10 dólares. Y si de algún modo el pirata logra averiguar la contraseña de una cuenta de correo es posible que llegue a venderla por 30 dólares…sigue

20minutos.es

septiembre 21, 2008 Publicado por portalhispano | Internet, Seguridad informatica, Technology, Tecnologia | hackers, malware, Robo, Seguridad informatica, spam, Spammers, Virus, Xploit | Dejar un comentario

Los ordenadores zombis, controlados por piratas, se quintuplican en cuatro meses

Los ordenadores zombis, controlados por piratas, se quintuplican en cuatro meses
La explosión coincide con un aumento de ataques contra servidores – “Todavía encontramos a internautas que piensan que con un antivirus es suficiente, o tan ingenuos como para pinchar en enlaces poco fiables”

Los ordenadores personales infectados con virus y controlados por delincuentes se han quintuplicado en los últimos cuatro meses y siguen subiendo, según informa la fundación Shadowserver. Los expertos no se ponen de acuerdo sobre la razón última de esta explosión, aunque la relacionan con el aumento de virus en la web.

La fundación Shadowserver está formada por voluntarios que monitorizan diversas botnets y realizan estadísticas. Las botnets son las redes donde los delincuentes agrupan los ordenadores infectados, conocidos como zombis o bots, que están bajo su control. Los usan para atacar otras redes, mandar spam o virus, alojar sitios web fraudulentos y otras actividades que les reporten beneficios económicos.

Según Shadowserver, en junio había 100.000 ordenadores zombi en las botnets monitorizadas, mientras que en septiembre rozan los 500.000 y subiendo. En el mismo periodo de tiempo, el número de botnets se ha mantenido relativamente estable en el mundo, entre 3.050 en junio y 2.900 en septiembre, lo que sugiere que las mismas se han hecho más grandes…sigue

Sergio de los Santos, de Hispasec Sistemas, recuerda que en marzo de 2007 hubo una explosión parecida, cuando los zombis se triplicaron en menos de un mes. Entonces, como ahora, afirma: “Nadie puede dar una explicación precisa a estos fenómenos”. Hace meses que no se emite ninguna alarma de virus, pero su número sigue creciendo. “Las casas antivirus no dan abasto e incluso podrían empezar a tener una visión sesgada del asunto y no abarcarlo tan completamente como hace años”.

De los Santos reconoce que han aumentado los sitios infectados con virus, pero recuerda: “Para que culmine la infección, el usuario debe visitar el sitio con un navegador vulnerable y, en las últimas semanas, no se han descubierto fallos en navegadores que permitan ejecutar código”. Por muchos virus que haya en una web, si no hay un agujero en el ordenador no pueden entrar. Aunque, puntualiza el experto: “Los internautas medios no suelen actualizar su sistema durante meses”…sigue

LEER mas en elpais.com

septiembre 19, 2008 Publicado por portalhispano | Hispasec, Internet, Seguridad informatica, Technology, Tecnologia | Botnets, Email, Internet, malware, Seguridad informatica, Virus | Dejar un comentario

Intento de “revival” de los virus de macro

Se está detectando en Europa un tímido intento de revivir los virus de macro, a través de un documento en Microsoft Word que está siendo enviado a través de spam. El virus no representa ninguna evolución del concepto y no se le espera repercusión alguna, pero supone un renovado y
discreto interés por este tipo de malware, prácticamente extinto desde finales de los 90.

El espécimen se trata de un virus de macro “de toda la vida”. Las macros en Microsoft Office permiten ejecutar código VBA (Visual Basic for Applications) incrustado dentro de documentos cuando son abiertos con esta aplicación. Hasta la versión Office 2000, esto se hacía de forma
automática con todas las macros contenidas en los documentos, lo que ayudó a popularizar lo que se llamarían los “virus de macro”. Virus como Melissa y sucesivas variantes dotaron a esta forma de ejecución automática gran popularidad.

El archivo en concreto se ha difundido por algunos países europeos con el nombre de Rechnung.doc. Lleva dentro incrustado un ejecutable, y la macro se encarga de copiarlo al disco duro y ejecutarlo. Las casas antivirus han tenido que rescatar del olvido el prefijo W97M y OF97para denominar a Fordo, como se ha dado en llamar. La detección general por
parte de los antivirus ha aumentado en los últimos días, aunque desde un principio ha sido muy efectiva.

http://www.virustotal.com/analisis/d67fcf69c3b2218dba79f4b154e6b930

La única novedad de Fordo es que en vez de ejecutar su payload directamente desde la macro, como habitualmente se venía haciendo, contiene en su interior un ejecutable…sigue
http://www.virustotal.com/es/analisis/def454a819753c1549253844a6249708

Desde Word 2000 las macros no se ejecutan de forma automática por defecto, a no ser que estén firmadas por alguien de confianza para el equipo. Fordo ni siquiera usa vulnerabilidades conocidas o no para saltarse esta restricción, simplemente confía en que el usuario o bien
use Word 97 o tenga las macros activadas en modo de seguridad “bajo” y se ejecuten automáticamente…sigue

LEER mas en hispasec.com
Blast from the future?
http://isc.sans.org/diary.php?storyid=5029

septiembre 17, 2008 Publicado por portalhispano | Hispasec, Informatica, Internet, Microsoft, Seguridad informatica, Software | Hispasec, Macros, malware, Microsoft Office, Seguridad informatica, Virus, Word | Dejar un comentario