Aunque parezca ridículo, hay quien niega que exista malware para Mac. Incluso, quien sostiene que en Apple hacen sistemas operativos inmunes. Si bien no merece la pena desmentir este evidente bulo, sí que sería necesario aclarar un par de puntos.

Existe malware para Mac. Es una evidencia. No en las cantidades que podemos encontrar para Windows, que juega en otra liga, pero (en el último mes) los números son comparables a los que podemos encontrar para el resto de sistemas operativos. O sea, “ahí fuera” y no en laboratorios (donde se han creado pruebas de concepto para todos los sistemas operativos) existe malware creado específicamente para Mac OS del que se lucran los atacantes.

Consultando a la base de datos de VirusTotal de los últimos 30 días (y entendiendo estos datos siempre con cierta cautela) realizaríamos la siguiente clasificación:

• Malware para Windows: 1.480.971 muestras únicas.
• Malware para Mac OS: 298 muestras únicas.
• Malware para Linux: 219 muestras únicas.
• Malware Android: 117 muestras únicas.
• Malware Symbian: 54 muestras únicas.
• Malware para iPhone: una única muestra.

Estos son muestras únicas llegadas a VirusTotal en el último mes y detectadas por más de cinco motores antivirus por firmas. Hay que tener en cuenta muchos factores como por ejemplo que las firmas para sistemas diferentes a Windows no están tan entrenadas en todos los motores, pero da una buena idea de la diferencia de órdenes de magnitud. Por ejemplo, si Windows cuenta ahora mismo con un 88% de cuota de mercado y Mac OS con un 5%, la cantidad de malware único no se ajusta en absoluto a esa proporción. El malware para Mac representa un 0,02% de las muestras únicas recibidas. En otros términos, por cada 5.000 muestras únicas de malware recibidas para Windows, se recibe sólo una destinada a Mac. Como dato adicional, la mayoría de esas casi 300 muestras son variantes de MacDefender, que se ha propagado con fuerza en los últimos días. Quizás en otros momentos los datos varíen.

El sistema móvil para el que se crea más malware es Android, con diferencia con respecto a iOS. Aquí es curioso como iOS de iPhone e iPad, siendo mucho más utilizado que Android (2,24% frente al 0,66% de uso), está por detrás en cuestión de malware. La razón es sencilla: iOS es un sistema “cerrado” donde todo el software es firmado y las descargas más o menos verificadas. Esto le libra del malware “masivo”, aunque por ello pierde “flexibilidad” para el usuario. Sin embargo, tras años en el mercado, siguen existiendo vulnerabilidades en iOS para eludir su “cierre” y realizar un “jailbreak”. Con cada nueva versión, intentan cerrar una puerta… pero siempre existen. Estos fallos los podría aprovechar el malware.

Ningún sistema operativo es inmune. Olvidamos que un troyano es un programa como otro cualquiera y sólo la voluntad de programarlo es lo que le separa de que se haga realidad. Lo único que diferencia al malware de cualquier otro software es que intenta instalarse silenciosamente en el equipo bien a través de la ingeniería social (engañando al usuario) bien a través del aprovechamiento de vulnerabilidades. Si hablamos de vulnerabilidades, Apple es un “experto”. En 2010 Oracle y Apple superaron en número de fallos de seguridad a Microsoft. Este año Adobe también está escalando puestos. No se puede crear un programa o sistema operativo inmune a nada. Y aunque fuese posible, los atacantes aprovecharían el desconocimiento del usuario para que él mismo instalara el malware. Por tanto, no hay “escapatoria”.

Continuaremos en una próxima entrega.

Más Información:

Secunia: Apple software has the most holes

http://news.cnet.com/8301-13846_3-20011403-62.html

Sergio de los Santos
ssantos@hispasec.com
twitter: @ssantosv

Teniendo en cuenta todo el ruido generado en torno a IncognitoRAT, intentaremos aportar algo nuevo. IncognitoRAT ha generado muchas noticias en medios generalistas en los últimos días. Sobre todo porque se ha anunciado que es multiplataforma (creado en Java) e infecta a Mac OS X. En realidad esto no es noticia, porque existen ya varias herramientas RAT o malware en general para Mac y para cualquier otro sistema operativo. Y en realidad, tampoco es un dato exacto. Todo está programado en Java, eso es cierto, pero el agente que infecta se ha visto solamente en forma de ejecutable para Windows… Lo que a nosotros nos llama la atención no es que IncognitoRAT permita con su código Java activar la cámara de la víctima, hacer que suene un MP3… sino sobre todo, su curioso recelo comercial… que parece que no han cuidado demasiado.

El cliente de este kit para crear y gestionar botnets, y al contrario que otros, exige presentarse en la red de la propia “compañía” que comercializa la herramienta (TeamHAVOC).

En la pestaña de “Request Auth” se requiere una autenticación basada en contraseña y además en dos parámetros HWID. Parece tratarse de un hash único por máquina en base al hardware y no puede ser modificado. El número de transacción puede tratarse del código que identifique el haber realizado el pago (para que los creadores originales sepan que eres un comprador legítimo del kit). El resto de datos son de control general de la botnet.

Cuando se envía esa información, el programa se conecta con Gmail para mandar un correo. Se supone que, con los datos introducidos, se pondrá en contacto con los creadores para validar la compra y la cuenta. Este es un movimiento curioso. Habitualmente los creadores de estas herramientas piden dinero por ellas, pero no controlan de esta forma al comprador (con identificadores de hardware, etc) y así, quien se tope con una herramienta comprada por otro, podría usarla sin problemas. No es este el caso. Es necesario que el servidor de TeamHAVOC esté activo e incluso usar el cliente en una misma máquina siempre, como consecuencia de los HWID.

En la otra pestaña, en la que se supone que uno se presenta cuando ya tiene usuario y contraseña validados (TeamHAVOC se asegura que has pagado), es donde se revela el fallo cometido por los programadores.

El cliente de la herramienta valida los datos recopilados durante la presentación del usuario contra su propio servidor (incognitorat.com). El supuesto error cometido es que los archivos son texto claro y con un formato propio. Sería como “ver” la base de datos de clientes que han comprado el kit para crear botnets.

Y a partir de ahí, se puede llegar hasta unos paquetes de software. Se trata de actualizaciones para la herramienta.

Las máquinas infectadas suelen contactar con puertos en torno al 400-500 de los servidores. Por ejemplo, “telnet riskygambler.no-ip.org 457″ responde con un protocolo que en principio, no he identificado.

Supongo que eliminarán pronto el acceso a esos datos (aunque sean falsos o inútiles, no dan buena imagen). Si son reales, se concluye que el producto ha tenido un éxito relativo, pues solo se observan cuatro cuentas activas y que el “gestor de autenticación” en el servidor no es muy eficaz. En la base de datos de VirusTotal encontramos pocas referencias a estas herramientas (sí a los infectores). Al menos por firmas los antivirus parecen no detectarlo demasiado. Incluso, esos archivos que cuelgan del servidor, todavía no han sido enviados a VirusTotal en el momento de escribir estas líneas.

En conclusión, resulta interesante el método de validación de compra que utiliza esta red, aunque después de programar una herramienta tancompleja, han fallado en lo más sencillo. En cualquier caso, no sabemos si los datos de los usuarios serán ciertos, o si se trata de simples pruebas que no han eliminado.

En el apartado de más información se describe cómo se comunica con el servidor y se aportan más imágenes.

Más Información:

De incógnito en la botnet IncognitoRAT

http://blog.hispasec.com/laboratorio/379

IncognitoRAT: Un malware multiplataforma para Mac OS X que se puede administrar desde iPhone o iPad

http://www.seguridadapple.com/2011/05/incognitorat-un-malware-multiplataforma.html

Sergio de los Santos
ssantos @ hispasec.com

Durante febrero la celebración de San Valentín fue el acontecimiento social más utilizado por los ciberatacantes para propagar códigos maliciosos. A su vez, según informa la compañía de seguridad informática ESET, se detectó el retorno de la botnet Waledac caracterizada por el envío masivo de spam a través de los equipos infectados y que ya había atacado del mismo modo en febrero del año pasado.

Durante este mes las búsquedas relacionadas al día de los enamorados han crecido exponencialmente. Mientras que en diciembre de 2010 el buscador Google arrojaba poco más de un millón de resultados asociados al nombre de esta celebración, en febrero se indexaron más de 600 mil sitios referentes a esta temática.

Esta tendencia no fue ignorada por los atacantes, por lo tanto, muchas de las páginas web que buscaban atraer a los usuarios con postales, fotos y wallpapers con temáticas de amor contenían códigos maliciosos.

También las redes sociales han sido empleadas para la propagación de amenazas aprovechando el festejo del 14 de febrero. En el caso de Twitter, se utilizaron mensajes del tipo spam con contenidos relacionados a la celebración y regalos especiales que incluían un enlace con el acortador de direcciones URL. Cuando la víctima hacía clic en dicho enlace, era enviada a una página de publicidad no solicitada que a su vez redirigía a otra web maliciosa, donde se ofrecía la descarga de una barra de herramientas detectada por ESET NOD32 Antivirus como adware.

“Como es habitual durante estas fechas los atacantes emplean técnicas de Ingeniería Social con el fin de infectar a grandes cantidades de usuarios desprevenidos. Por tal motivo es muy importante que los usuarios tengan bien presente las buenas prácticas a la hora de navegar por la web para optimizar la seguridad brindada por sus soluciones de seguridad”, aseguró Federico Pacheco, Gerente de Educación e Investigación de ESET Latinoamérica.

Para conocer cuáles fueron las cinco formas más comunes de infección con motivo del día de los enamorados puede ingresar a: http://blogs.eset-la.com/laboratorio/2011/02/10/5-formas-de-infectarse-en-san-valentin/

Por otra parte, el Laboratorio de Análisis e Investigación de ESET Latinoamérica reportó una nueva campaña de infección de la botnet Waledac. Si bien desde febrero de 2009 se creía que esta botnet había dejado de operar, la misma continúa activa enviando gran caudal de spam a través de los equipos infectados.

Por medio de una actualización del troyano de la botnet se infecta el equipo de la víctima que inmediatamente comienza a enviar spam a diversas cuentas de correo, con la particularidad de que no utiliza servidores de correo maliciosos para realizar esta tarea, sino que se conecta a servidores de correos legítimos y populares a los que accede gracias a que dispone de una base de usuarios y contraseñas de correo robadas. Esta metodología le permite enviar grandes cantidades de correo no deseado sin preocuparse por el filtrado por medio de listas negras, las cuales son muy utilizadas por los servidores legítimos de correo.

“Es importante destacar que no se necesita de una botnet demasiado grande para enviar grandes caudales de spam, permitiéndole al desarrollador malicioso tener un ingreso monetario considerable y constante gracias a la venta de este servicio. Por tal motivo queda claro, tal como adelantamos en nuestro informe sobre las Tendencias para el 2011, las botnet no sólo que no desaparecerán sino que irán creciendo en cantidad y, en algunos casos, en tamaño”, concluye Sebastián Bortnik, Coordinador de Awareness & Research de ESET Latinoamérica.

Para más información acerca de los principales ataques informáticos de febrero, puede visitar el reporte de las amenazas más importantes del mes publicado en el Blog del Laboratorio de ESET: http://blogs.eset-la.com/laboratorio/2011/03/01/resumen-de-amenazas-de-febrero

Copyright © 1997–2010 ESET. Todos los derechos reservados. ESET y NOD32 son marcas registradas de ESET. Otros nombres son marca registrada de sus respectivas empresas.

Con el equipo infectado y las páginas de los bancos comprometidas localmente, a las víctimas se les solicita el número y modelo del móvil para recibir un certificado de seguridad. Este certificado se envía por mensaje y es en realidad el troyano que infecta el aparato y supervisa los SMS para robar los códigos de seguridad.

La nueva versión del troyano opera de la misma forma y afecta a los usuarios de Symbian y Windows Mobile. Fue detectada en Polonia y el ataque estaba dirigido a clientes de ING Bank y mBank:

Página del banco modificada por Zeus

En el foro de mBank se puede ver el mensaje de un usuario infectado que no puede acceder a su cuenta online y ve mensajes extraños.

En esos casos lo que hay que hacer es llamar por teléfono al banco y explicar la situación para que cancelen o controlen cualquier movimiento de dinero extraño.

Luego hay que acceder a la cuenta para cambiar las contraseñas, esto se debe hacer desde otra computadora segura o desde la misma utilizando un Live-CD para descartar totalmente la acción del malware instalado. Finalmente hay que desinfectar el equipo.

Más información en Securelist y Niebezpiecznik.

Fuente: SpamLoco.net

Según el artículo de Haaretz, el general Ashkenazi habría preparado su transición a su nueva vida como jubilado creando un vídeo donde se refiere a los hitos de su carrera. El vídeo, que fue presentado durante una fiesta de homenaje para el general, incluye una secuencia en que Ashkenazi dice haber sido responsable de supervisar el desarrollo de Stuxnet.

El ataque del gusano Stuxnet ha recibido amplia cobertura mediática en Iran. Según el diario Haaretz, el vídeo incluye una secuencia en que Ashkenazi admite que Israel bombardeó instalaciones atómicas en Siria en 2007. Esta sería la primera vez que un jefe militar israelí admite los hechos.

Stuxnet dejó fuera de servicio un gran número de centrífugas usadas para el enriquecimiento de uranio en las instalaciones de Natanz.

El miércoles 16 de febrero, el Institute for Science and International Security (ISIS), presentó una actualización de su primer informe sobre Stuxnet, publicado originalmente el 22 de diciembre (ver). El informe fue elaborado en asociación con Symantec, que fue la primera empresa de seguridad informática en revelar la gran propagación que el gusano tuvo en Irán.

El informe actualizado de ISIS constata que los responsables de las instalaciones de Natanz lograron deshacerse de Stuxnet con relativa rapidez, neutralizando el malware y cambiando las centrífugas dañadas por otras nuevas, a pesar de las sanciones internacionales que afectan al programa atómico de Irán.

En el informe se señala además que la propagación de Stuxnet se produjo mediante memorias USB plantadas en cuatro organizaciones iraníes que Symantec prefiere no individualizar.

Fuente: DiarioTI

El Consejo Nacional Consultivo de Cyberseguridad (CNCCS) presenta el primer Informe sobre Malware en Smartphones, en el que Hispasec ha participado de forma directa. El estudio pretende constituir una radiografía que refleje la situación actual de los smartphones en lo referente a seguridad, describiendo las principales amenazas a las que se enfrentan, así como las medidas existentes para mitigar los riesgos asociados. Los dispositivos móviles ya no son simples teléfonos y no pueden ni deben ser tratados como tal.

El Consejo Nacional Consultor sobre CyberSeguridad (CNCCS) es una organización privada que cuenta con los asociados: AEDEL, Amper, Bdigital, EIIEO, Eside Deusto, Hispasec, Indra, Informática 64, Isec Auditors, Kinamik, Optenet, Panda Security, S2grupo, Secuware, TB security y S21sec. Su misión es poner a disposición de las diversas organizaciones que operan en España, gubernamentales o no, el conocimiento y experiencia de sus miembros en asuntos relacionados con la ciberseguridad nacional o global; con el fin de hacer más segura Internet y las redes de Información, a la vez que potenciar la innovación y el crecimiento económico.

Los dispositivos móviles han ido evolucionando hasta converger prácticamente en cuanto a funcionalidades con los ordenadores personales, hecho que se traduce en un notable incremento en la usabilidad de los móviles en cualquier ámbito. Pero como nota negativa debemos destacar un aumento en los riesgos que se asocian a los mismos.

La generalización de la oferta de tarifas planas para smartphones ha supuesto una popularización de estos dispositivos totalmente vertiginosa, pero el problema es que los usuarios no son conscientes de los peligros que entraña no tener protegido su terminal ni de la cantidad de información personal que se almacena en el mismo. Como consecuencia de esto, las mafias existentes han ampliado sus horizontes de actuación y han incluido este sector entre sus objetivos. Un objetivo de gran crecimiento y alta remuneración.

La limitada concienciación en lo referente a seguridad de los usuarios de estos dispositivos y el consecuente comportamiento pueden ser los factores de mayor riesgo para los smartphones a corto plazo. Es de gran importancia comprender que un dispositivo móvil de estas características ya no es un simple teléfono y no puede ni debe ser tratado como tal.

El CNCCS propone una serie de buenas prácticas para ayudarnos a proteger nuestros dispositivos móviles:

• Habilitar medidas de acceso al dispositivo como el PIN o contraseña si está disponible.
• Configurar el smartphone para su bloqueo automático pasados unos minutos de inactividad.
• Antes de instalar una nueva aplicación revisar su reputación. Sólo instalar aplicaciones que provengan de fuentes de confianza.
• Prestar atención a los permisos solicitados por las aplicaciones y servicios a instalar.
• Mantener el software actualizado, tanto el Sistema Operativo como las aplicaciones.
• Deshabilitar características mientras no se usen: Bluetooth, infrarrojos o Wi-fi.
• Configurar el Bluetooth como oculto y con necesidad de contraseña.
• Realizar copias de seguridad periódicas.
• Cifrar la información sensible cuando sea posible.
• Utilizar software de cifrado para llamadas y SMS.
• Siempre que sea posible no almacenar información sensible en el smartphone, asegurándose que no se cachea en local.
• Al deshacerse del smartphone borrar toda la información contenida en el smartphone.
• En caso de robo o pérdida del smartphone informar al proveedor de servicios aportando el IMEI del dispositivo para proceder a su bloqueo.
• En determinados casos pueden utilizarse opciones de borrado remoto o automático (después de varios intentos de acceso fallidos).
• Monitorizar el uso de recursos en el smartphone para detectar anomalías.
• Revisar facturas para detectar posibles usos fraudulentos.
• Mantener una actitud de concienciación en el correcto uso de estos dispositivos y los riesgos asociados.
• Extremar la precaución al abrir un correo, un adjunto de un SMS o hacer clic en un enlace. Cabe destacar que esta fue una de las vías de entrada del Zeus-Mitmo.
• Desconfiar de los archivos, enlaces o números que vengan en correos o SMS no solicitados.
• Evitar el uso de redes Wi-fi que no ofrezcan confianza.
• Tener en cuenta este tipo de dispositivos en su política de seguridad corporativa.

El informe completo puede descargarse desde:
http://www.hispasec.com/laboratorio/Malware%20en%20Smartphones%20CNCCS%20.pdf

Más información

CNCCS

http://www.cnccs.es

Fuente: Hispasec.com

El ‘troyano’ Soundminer, monitorea las llamadas y los registros de los teléfonos Android cuando una persona, por ejemplo, informa del número de su tarjeta de crédito o lo introduce en un teclado, según el estudio presentado por los investigadores. Mediante diversos análisis técnicos elimina la información superflua hasta dejar la esencial, como el propio número de la tarjeta de crédito, y envía sólo esa pequeña porción de información al hacker por la red.

El estudio ha sido realizado por Roman Schlegel, de la City University of Hong Kong, yKehuan Zhang, Xiaoyong Zhou, Mehool Intwala, Apu Kapadia y XiaoFeng Wang, todos ellos de la Indiana University. “Hemos implementado Soundminer en un móvil Android y evaluado nuestra técnica usando los datos manejados en una conversación telefónica lo más realista posible”, escriben los autores.”Nuestro estudio muestra que es posible identificar, desvelar y robar el número de una tarjeta de crédito. Por tanto, el reto de que suceda un ataque similar es real”.

Soundminer está diseñado para solicitar los menos permisos posibles para evitar sospechas. Por ejemplo, Soundminer puede acceder sin problemas al micrófono del teléfono, pero el acceso a los datos transmitidos o a la lista de contactos, o la interceptación de las llamadas salientes, podrían levantar sospechas.

Así, en otra versión del ataque, los investigadores emparejaron Soundminer con otro troyano llamado Deliverer, encargado de enviar la información recogida por el primero. Como Android evita esa comunicación entre aplicaciones, los autores investigaron una forma furtiva para que Soundimenr y Deliverer se comunicarán entre sí. Descubrieron lo que denominan “canales encubiertos”, donde los cambios que se realizan en una característica son comunicados a otras aplicaciones que puedan verse afectadas por ellos, como, por ejemplo, la configuración de la vibración.

Soundminer codifica los datos sensibles de forma que aparecen como si fuera una configuración de vibración, y Deliverer los decodifica y los envía a un servidor remoto. Tal canal de configuración de la vibración encubierto sólo tiene 87 bits de ancho de banda, una cifra pequeña pero suficiente para enviar los 54 bits que supone el número de una tarjeta de crédito, según los investigadores.

El código de Soundminer reconoce los números y la voz de las llamadas sobre el propio teléfono, liberándose así de tener que enviar por la red largas cadenas de datos para que sean sometidas a análisis posteriores, lo que podría ser identificado por el software de seguridad.

Como, al utilizar un canal encubierto, Soundminer no necesita acceso directo a la red para enviar la información, es difícil que levante sospechas. En las pruebas realizadas por los investigadores, ninguno de los programas antivirus para Android aplicados,VirusGuard de SMobile Systems y AntiVirus de Droid Security, fueron capaces de identificar Soundminer como malware, incluso cuando estaba registrando y cargando datos.

En un comunicado emitido por Google, responsables de la compañía en Londres, sin referirse directamente a Soundminer, aseguran que Android está diseñado para minimizar el impacto de “aplicaciones maliciosas o pobremente diseñadas” cuando aparecen en un dispositivo. Según Google, si los usuarios creen que una aplicación es dañina o inapropiada, pueden intentar minimizar su impacto o eliminarlas del dispositivo. “Las aplicaciones sospechosas de violar nuestras políticas son eliminadas de Android Market, así como sus desarrolladores”.

Fuente: Networkworld.es

Click Forensics, especializada en la prestación de servicios de monitorización de campañas de publicidad para la detección de fraudes de clics, asegura que los arquitectos de la nueva botnet han conseguido encontrar una forma especialmente efectiva de enmascarar los clics fraudulentos haciéndolos parecer tráfico de búsqueda de publicidad legítimo.

La firma ha bautizado la red de “ordenadores zombi” con el nombre de Bahama porque inicialmente redirigía el tráfico a través de dominios web de las Bahamas, aunque en la actualidad utiliza sitios de Amsterdam, Reino Unido y Silicon Valley.

El fraude de clics es un fenómeno que afecta a los vendedores que invierten en publicidad basada en pago por clic (PPC) sobre motores de búsqueda y páginas web, y se produce cuando una persona o una máquina pincha sobre un anuncio PPC con intenciones maliciosas –por ejemplo, un competidor del anunciante para aumentar el gasto de éste y perjudicarlo así económicamente- o por error, sin estar realmente interesada en el contenido.

En el caso de Bahama, enmascara la fuente de sus clics para que los filtros antifraude los interpreten como provenientes de fuentes legítimas de alto nivel, como librerías y escuelas de Estados Unidos. Además, altera el intervalo y la amplitud de los ataques lanzados desde los PC comprometidos.

Click Forensics asegura que, en los peores casos detectados hasta el momento, hasta el 30% de la inversión mensual en publicidad de algunas empresas se ha desperdiciado en clics realizados desde Bahama.

Fuente: http://www.csospain.es

Alfredo Ortega y Anibal Sacco de Core Security Technologies explicaron que el ataque es posible contra casi todos los sistemas comunes de Bios en uso actualmente.

Los investigadores idearon un script Python de 100 líneas que puede ser grabado en la memoria flash del Bios para instalar un rootkit. Debido a que el programa del Bios se activa antes que cualquier otro programa en una computadora cuando esta se incia, los programas normales de anti-virus serían incapaces de detectarlo.

“Probamos el sistema en la mayoría de los tipos comunes de Bios”, dijo Ortega. “Existe la posibilidad que los nuevos tipos de Bios de Interface Extensible de Firmware (*EFI BIOS) puedan ser resistentes al ataque, pero se requieren más pruebas.”

El ataque solo es posible si el atacante ya tiene control administrativo completo de la PC objetivo, pero esto es posible mediante una infeccion estándar de virus. Una vez conseguido eso, el operador del malware sería capaz de grabar un rootkit directamente en el Bios.

Incluso si el virus inicial fuera detectado y eliminado, la computadora seguiría aun bajo control remoto. Una limpeza complerta del disco duro y resintalacion completa del sistema operativo no lo eliminaría, advirtieron los investigadores.

Si un rootkit sofisticado fuera colocado en el Bios sería aún mas difícil para un administrador poder rastrearlo en el sistema, según Ivan Arce, gerente de Tecnología de Core Security.

“Necesitaría regrabar la memoria flash del Bios con un sistema que uno sepa que no ha sido manipulado”, dijo. “Pero si el rootkit es suficientemente sofisticado sería necesario eliminar y reemplazar físicamente el chip de Bios.”

El vector de ataque también es utilizable contra sistemas virtuales, dicen lso investigadores. El Bios en VMware está integrado como un módulo en el ejecutable principal de VMware, y por lo tanto podría ser alterado.

Sin embargo, es posible protegerse consta este ataque cerrando el chip del Bios a las actualizaciones, ya sea físicamente o mediante protegiendo por contraseña los cambios no autorizados del sistema.

“El mejor enfoque es impedir que los virus graben en la Bios,” dijo Sacco. “Necesita impedir la grabacion de la Bios, incluso si esto significa sacar un jumper en la placa madre.”

Autor: Iain Thomson
Traducción: Raúl Batista – Segu-info
http://blog.segu-info.com.ar/2009/11/nuevo-ataque-al-bios-hace-inservible-al.html

Los expertos de la empresa de seguridad de California FireEye lanzaron un ataque coordinado a la red, también conocida como Ozdok, para evitar que los zombis contactaran a su servidor de administración y control para recibir órdenes y actualizaciones.

Los administradores de la red Mega-D se comunican con los ordenadores zombis mediante dichos servidores de administración y control. Es por eso que la empresa pudo poner en crisis la existencia de la red sólo con evitar que los zombis se comuniquen con estos servidores.

La red había registrado varios nombres de dominio para descargar las instrucciones para sus zombis. Cuando por alguna razón los ordenadores infectados no pueden recibir las actualizaciones por este medio, buscan servidores DNS para detectar sitios activos. En última instancia, los zombis reciben las órdenes desde un nombre de dominio que Mega-D genera al azar basándose en la fecha y hora.

Lo que hizo el grupo de expertos fue pedir a los servidores que albergaban equipos que funcionaban como centro de administración y control que bloquearan las direcciones IP maliciosas.

La empresa también se dedicó a predecir los nombres de dominio que Mega-D iba a generar y se adelantó a registrarlos para que no estén disponibles para los zombis de Mega-D.

Como resultado, más de 264.000 zombis huérfanos comenzaron a pedir instrucciones en sitios que ahora estaban bajo el dominio de FireEye. La empresa piensa aprovechar esto para pedir a los servidores de Internet que identifiquen a sus clientes y les adviertan que son parte de una red zombi.

Aunque sería muy caro y complicado seguir bloqueando la red para siempre y FireEye admite que no sabe por cuánto tiempo más seguirá adelantándose a registrar dominios, “esto demuestra claramente que es difícil pero no imposible derrotar a algunas de las peores redes zombi del mundo”, dijo Atiq Mushtaq, de FireEye.

Fuente:

http://www.viruslist.com/sp/news?id=208274452