Una gran parte de los drivers disponibles en descarga en el sitio de soporte de Razer tenian el troyano TROJ_DROPPER.JIZ. Una vez que el troyano se descarga en la computadora libera una copia mediante un instalador que contiene el virus WORM_ASPXOR.AB.

Lo que muchos internautas se preguntan es como es posible que en el caso de una empresa fiable o un sitio que anteriormente habia cumplido con medidas de seguridad, se les haya podido colar un troyano entre sus descargas de drivers. Algo que no se explica por mucho que se especule con errores, algún hackeo malintencionado hacia la compañia, o supuestos trasteos de empleados.

Razer por su parte ha estado trabajando con rapidez para solucionar e impedir la distribucion de malware, primero quitando de descarga hasta 8 drivers diferentes, supuestamente infectados, y buscando la raiz del agujero de seguridad. El virus gusano Worm.ASPXOR.AB abre un puerto TCP al azar y comienza a enviar spam con réplicas del virus adjuntas a los emails fraudulentos usando la computadora victima del ataque informático. Según las investigaciones de Trend Micro es un virus particular que tras un escaner en el servicio online de Virus Total, lanza un ratio bajo de detección: sólo 7 de 41 paquetes de seguridad lograron detectar el malware.

Este es el mensaje que aparecia en Razer, donde avisan de la alerta desde el dia 19 de septiembre, además de recomendar a los usuarios realizar un escaner de seguridad de sus ordenadores.

Razer was alerted of an malicious attack to our support site this past weekend (19th September) by a malware virus or trojan. We had earlier taken down the support page for the past 24 hours to ensure all issues were resolved. If you have downloaded and installed drivers or firmware from www.razersupport.com from the 19th of September 2009, it is recommended that you visit one of the following sites for a free virus scan.

Seguramente solucionarán lo ocurrido rapidamente y sus descargas de drivers volverán a estar disponibles y limpios, en su sitio web. Por otro lado, conviene destacar la necesidad de tener antivirus y protección en nuestro ordenador, incluso con descargas aparentemente inofensivas puede ocurrir una catástrofe inesperada. Leer más información en el blog de Trend Micro.

El uso de la mensajeria instantanea en los crackers puede permitir el rápido uso de información sensible al tiempo, como contraseñas de un solo uso, ahora usadas frecuentemente en la banca en lí­nea o el uso de contraseñas lo más rápido posible antes de que la victima se percate de que no ha hecho algo bien y decida alertar al soporte al cliente de su banco para cambiar sus contraseñas o bloquear la cuenta y tarjetas.

Se encontró que otro programa que roba contraseñas llamado Sinowal también lo usaba en 2008. Una vez que está en una PC, Zeus envía nombres de usuarios y contraseñas a un servidor remoto, al cual el cracker debe acceder y descifrar. RSA, encontró que varias variantes de Zeus tienen un módulo Jabber de mensajerí­a instantánea. El proyecto Jabber así como otros servicios como la característica de chat de el GMail de Google utilizan XMPP (Mensajería Extensible y Protocolo de Presencia o Extensible Messaging and Presence Protocol), un estandar abierto para la mensajería instantanea.

El hacker establece dos cuentas Jabber, una para enviar información y una para recibirla. Cuando Zeus obtiene los nombres de usuarios, los enví­a a un servidor remoto. El módulo Jabber entonces busca credenciales para instituciones financieras especificas y entonces transmite la información al hacker a través de mensajería instantanea, dijo RSA.

El número de computadoras en Estados Unidos, solamente, infectadas con Zeus se estimó el mes pasado en 3.6 millones de computadoras por la compañi­a de seguridad Damballa, haciéndolo uno de los programas de software malicioso más común y una botnet muy grande.

Los usuarios pueden infectarse si no han instalado los últimos parches de seguridad en sus computadoras y han visitado páginas web diseñadas para buscar automáticamente vulnerabilidades de software y entonces entregan el malware. Zeus también puede ser instalado inadvertidamente en una computadora si una persona es engañada para que abra un archivo adjunto en un correo electrónico que contenga Zeus.

El programa cybercriminal Zeus, es fácil de usar para que los individuos puedan crear su propia red de troyanos a la medida, se ha convertido en una herramienta para favorecer a los criminales principiantes, para que se involucren en la economía subterranea, de acuerdo a Peter Coogan de Symantec, quien escribió en uno de los blogs de la compañi­a. La gran disponibilidad de esta herramienta en foros subterraneos últimamente, ha llevado a que también se incremente su uso.

Zeus ha estado en el radar de profesionales de la seguridad desde hace un tiempo, y un grupo tiene un sitio web que rastreas infecciones de Zeus y servidores de comando y control, los cuales pueden emitir instrucciones a las PC infectadas. El ZeuS Tracker ahora cuenta 802 host maliciosos con Zeus. La organización también publica una lista de bloqueo que los administradores pueden usar para asegurarse de que las personas en su red no accedan a dominios peligrosos relacionados con Zeus.

Via| PC World en español

Esta circunstancia ha sido aprovechada de forma pícara por scammers que han difundido enlaces a supuestos trailers con videos inéditos antes del estreno, pero que realmente tenian malware y nada relacionado con la pelí­cula.

Los links maliciosos fueron posteados en varias redes sociales, blogs y comunidades sin moderación donde se pedia a los visitantes que descargasen un “streamviewer” para poder acceder a los videos de la película, si una persona hacia caso, se descargaba malware en su equipo. El streamviewer es en realidad un código malicioso programado para buscar información personal, datos y claves dentro de los documentos del equipo.

La prudencia y el sentido común apremian en los internautas al igual que la picaresca y el aprovechar cualquier tema de actualidad para los scammers. Se recomienda ver solamente trailers desde sitios oficiales o canales seguros como Youtube. Tengamos siempre presente que lo que vamos a descargar no tiene porque ser lo que nos indican en el nombre del archivo. Al igual que en las redes P2P se esconden archivos con un determinado nombre que luego no resultan ser nada relacionado y pueden tener contenidos no apropiados o adware.

Desde Google escanean constantemente su índice de resultados de búsqueda para encontrar sitios web que puedan ser potencialmente peligrosos para el internauta. En un rastreo global por los sistemas automatizados, se descubrieron cerca de 4,000 sitios diferentes que posiblemente distribuian malware a través de webs populares. Dentro de los dominios encontrados, unos 1400 correspondian a dominios con la extensión .cn TLD. Algunos de ellos jugaban con nombres de conocidas empresas para despistar como por ejemplo goooogleadsence.biz, entre otros.

El gráfico muestra diferentes sitios según los ataques reportados, el top 10 corresponde solamente a los sitios web que han comprometido a otros sitios web con malware, los sitios más peligrosos son sospechosos de haber perjudicado con programas maliciosos a cerca de 10 000 sitios web en todo internet. También se muestra un aviso mediante una flecha según el momento en el que fueron marcados en los resultados de búsqueda como sitios peligrosos gracias a la Safe Browsing API de Google.

Concretamente para Gumblar.cn se cree que ha atacado 60 000 sitios y en el caso de Martuz.cn unos 35 000 sitios web, otro sitio web llamado Beladen.net fue reportado como un sitio de ataques masivos pero quedó en la posición 124 del listado de sitios de malware con unos 3500 sitios comprometidos.

Para la navegación segura en internet se puede usar gratuitamente Safe Browsing API en navegadores web como Firefox o Google Chrome.

Es posible que el spam actual se esté difundiendo a través de cuentas no solamente creadas para enviar malware o publicidad no deseada sino desde cuentas antes totalmente legales y usadas por usuarios corrientes pero que fueron robadas por los delincuentes utilizando los datos que recolectaron durante un ataque de phishing anterior. Con datos y contraseñas de usuarios para ingresar a las cuentas de sus víctimas sería suficiente para suplantar su identidad y bajo la misma, difundir los mensajes masivos.

Según una investigación de Fortinet, los datos de las cuentas comprometidas están circulando en el mercado negro virtual, donde los criminales que los robaron los venden y alquilan a spammers. Los mensajes que los spammers publican en el Wall contienen enlaces que dirigen a sitios externos como farmacias en línea para vender los fármacos de siempre.

Aunque este ataque ya es común en blogs, foros y otros sitios de redes sociales como MySpace, el Wall de Facebook todavía no es un blanco frecuente de los delincuentes virtuales. Los usuarios deben desconfiar hasta de los mensajes de sus conocidos. Se aconseja que no pulsen en los enlaces del mural de Facebook si no están convencidos de que dirigen a un sitio seguro, normalmente se nota si es algo automatizado con algo de experiencia viendo spam pero es bueno mirar a donde nos envia el link antes de pulsar, basta con dejar el cursor del ratón encima y mirar en la barra inferior del navegador web.