ESET, empresa especializada en seguridad informática, ha alertado sobre la difusión en todo el mundo de un gusano que afecta al sector de arranque de los ordenadores, o Master Boot Record (MBR).

Diseñado inicialmente como una broma dirigida a una pequeña comunidad de moteros de la región central de Eslovaquia, el gusano Win32/Zimuse.A y Win32/Zimuse.B ha alcanzado notoriedad en todo el mundo. Se trata de una amenaza que sobrescribe todos los MBR de los discos disponibles con sus propios datos, haciendo inaccesibles los datos almacenados en el equipo del usuario. Además, la restauración de los archivos afectados es complicada, y requiere el uso de software especializado o la intervención de un experto.

Desde la aparición del gusano, ESET lo ha bloqueado en cientos de ordenadores de sus usuarios. Inicialmente sólo afectó a usuarios en Eslovaquia, donde registró más del 90% de las infecciones totales. Actualmente, el mayor número de ordenadores infectados se registra en los Estados Unidos, seguido por Eslovaquia, Tailandia, España, Italia, República Checa y otros países europeos.

El gusano utiliza dos vías de infección, bien a través de su inserción en webs legítimas, en forma de archivo ZIP autoextraíble o de programa de prueba para evaluar el CI, o bien a través de dispositivos como las memorias USB. El hecho de que utilice dispositivos USB para propagarse es el responsable de su rápida diseminación, que se espera que aumente todavía más.

Esta amenaza no posee un grado de sofisticación como para cifrar los datos del disco, y en su lugar fue diseñada para corromper el Master Boot Record de las unidades de memoria física. Emula amenazas antiguas en las que incorpora un tiempo de activación, que en el caso de la versión Win32/Zimuse.A es de 40 días una vez se instala en el equipo.

Hasta la fecha, las dos variantes del gusano difieren en el método de difusión y en el tiempo de activación.

Mientras que la variante Win32/Zimuse.A necesita 10 días para comenzar a distribuirse a través de dispositivos USB, la variante Win32/Zimuse.B necesita sólo 7 días para hacerlo.

Además, el tiempo necesario para la ejecución de sus rutinas destructivas también se reduce en la variante Win32/Zimuse.B desde los 40 días de la variante original a sólo 20 días.

Por otra parte, si no se utiliza el método de desinfección adecuado, el gusano activa su modo destructivo. Es una situación similar a hacer la elección acertada sobre qué cable cortar, y en qué orden, al desactivar una bomba.

Se sospecha con bastante certeza que el gusano fue diseñado para infectar los ordenadores de un club de motociclistas en la región de Liptov, en el centro de Eslovaquia. Sin embargo, se ha difundido más allá de su objetivo una vez que comenzó a atacar redes corporativas. Y lo que es más, recuerda a la conocida amenaza OneHalf por el comportamiento del gusano, el país de origen (ambos originados en Eslovaquia) y el daño que causa (la paralización total del equipo al que ataca).

ESET recomienda a sus usuarios hacer una copia de seguridad de sus datos importantes.

ESET también ha publicado recientemente una herramienta de eliminación del gusano Zimuse disponible en el siguiente enlace:
http://www.eset.eu/download/ezimuse-remover

Es un hecho conocido que Facebook recaba y almacena abundante información sobre sus suscriptores. Claro está, son los propios usuarios que informan al servicio sobre sus intereses, actividades, amistades y colegas. Sin embargo, llama la atención que Facebook conozca información sobre personas que nunca le han proporcionado información personal.

Suele ocurrir que personas que no disponen de una cuenta en Facebook reciben invitaciones de sus amigos y conocidos para incorporarse a servicio. Este es un procedimiento normal y sin duda legítimo, pero llama la atención que estas invitaciones incluyen listas de miembros de Facebook, a quienes el destinatario posiblemente conozca. La pregunta es ¿cómo puede Facebook saber quiénes son los amigos de alguien que no está abonado al servicio?

Inicialmente podría suponerse que se trata de amigos de la persona que ha enviado la invitación. Sin embargo, esa suposición es descartada por la publicación alemana Heise Online, que ha estudiado en detalle una invitación de Facebook. En el caso concreto, el destinatario de la invitación, que no estaba afiliado a Facebook, se preguntaba cómo era posible que él conociera a todas las personas incluidas en la lista de la invitación, pero la persona que le había enviado la misma no conocía a todas las personas de la lista.

En general, puede decirse que Facebook tiene una gran capacidad de recabar y almacenar información sobre los usuarios de Internet; tanto de quiénes son miembros del servicio y de quienes no lo son. Al instalar la aplicación de Facebook para iPhone, el servicio ofrece importar todos los contactos del teléfono móvil a Facebook. Con ello, el servicio inmediatamente dispone de una lista de contactos con nombres, números telefónicos y direcciones de correo electrónico. Cuando alguien abre una cuenta en Facebook, el servicio ofrece analizar la bandeja de entrada para encontrar amigos y conocidos.

Podría suponerse entonces que Facebook almacena, por ejemplo, información sobre las personas que han sido buscadas, y no encontradas, por sus usuarios. Luego, usa la información para generar nuevas listas de amigos. Otra alternativa es que Facebook intente vincular usuarios provenientes de una misma ciudad, o que hayan asistido a la misma escuela o tenido el mismo empleador.

Afortunadamente para los usuarios interesados en conservar su privacidad, Facebook dispone de una función más bien oculta, que permite borrar todos los contactos que hayan sido importados al servicio.

Fuente: Heise.de

Citando a Fito y Fitipaldis “no es porqué digas la verdad, es porqué nunca me has mentido”, la razón por la que confío en tí. Aunque en principio la frase pueda parecer un tanto redundante, la diferencia es más que sutil. Algo parecido está ocurriendo estos días en la industria antivirus tras la publicación de unas pruebas llevadas a cabo por Kaspersky, donde demostrarían que otro motores antivirus “copian” sus resultados.

Nada nuevo bajo el sol. Como ya hemos comentado con anterioridad en una-al-dia, y es bien conocido dentro de la industria antivirus, los laboratorios se vigilan entre sí y tienen en cuenta los resultados de la competencia durante sus análisis. Normal y lógico. El problema viene dado cuando se dejan llevar en exceso por los resultados de terceros, especialmente en el caso de los falsos positivos (cuando alguien por error detecta como malware un software legítimo y el resto le sigue).

Kaspersky ha querido ir un paso más allá en esta problemática y presentó a los medios una prueba de concepto realizada para la ocasión. Básicamente, generó unos ejecutables inofensivos y los incluyó en su base de firmas para detectarlos como si fueran malware. A continuación los envió a VirusTotal esperando que fueran distribuidos y esperó la reacción del resto de laboratorios antivirus. El resultado es que algunos motores comenzaron a incluir también firmas para detectar esos ficheros como malware.

Esta prueba de concepto ha sido motivo de discusión entre la propia industria antivirus, algunos ven una campaña de marketing y desprestigio a la competencia, otros una interesante demostración y toque de atención sobre esta problemática.

Por un lado comprendo el cansancio de cualquiera que vea como terceros se aprovechan de su trabajo sin aparentemente aportar nada a cambio. Por otro lado, con la que está cayendo, parece necesario que exista cierta colaboración entre antivirus para hacer frente a la avalancha de malware, ésta es una guerra que no puede ganar ningún laboratorio de forma individual.

El posible efecto no deseado de la prueba de concepto de Kaspersky podría ser que creara desconfianza entre los propios laboratorios antivirus, que nadie se fíe de las detecciones del resto, con lo que finalmente ganan los malos y perdemos los usuarios.

Como en muchos otros aspectos de la vida, la virtud suele estar en un punto intermedio. No parece ético que un antivirus se alimente de las detecciones de terceros sin contar con recursos propios que le permita discernir entre lo que es malware y lo que, a todas luces, no lo es.

Lo lógico sería que las detecciones de terceros puedan ser un indicador más que los laboratorios pueden tener en cuenta en sus algoritmos para priorizar el estudio de muestras o como una variable más dentro de sus procesos para determinar si un fichero es malware o no, pero el mayor peso de esa decisión debería residir en recursos propios.

Si todos los antivirus invirtieran sus esfuerzos en desarrollar tecnología propia, según sus posibilidades, y evitaran las prácticas de copia directa, se fomentaría un entorno de colaboración y confianza dentro de la propia industria antivirus que a día de hoy es, sencillamente, necesario.

No está en juego sólo la confianza entre antivirus, sino en todo un modelo de protección. La industria antivirus debería ser más corporativista y no ser tan cortoplazista en la búsqueda de resultados, deberían trabajar en mejorar los resultados globales y la percepción del público. El problema no es que la marca X o el producto Y no detecte un malware, sino que el usuario empieza a desconfiar de la capacidad de cualquier antivirus para afrontar el problema actual.

Más Información:

Rumorología antivirus
http://www.hispasec.com/unaaldia/4013

On the way to better testing
http://www.viruslist.com/en/weblog?weblogid=208188011

Tests Show Problems With AV Detections
http://blogs.pcmag.com/securitywatch/2010/02/sw_tests_show_problems_with_av.php

On the Trustworthiness of the AV Industry and AV Tests
http://blog.trendmicro.com/?p=21566

Kaspersky, Virus Total, and Unacceptable Shortcuts
http://www.eset.com/threat-center/blog/2010/02/02/kaspersky-virus-total-and-unacceptable-shortcuts

Desde el blog de Firefox han publicado un aviso de seguridad relacionado con dos complementos de su navegador que contiene código malicioso, las extensiones afectadas son Sothink Web Video Downloader y todas las versiones de Master Filer.

En Sothink Web Video Downloader se ha encontrado el archivo malicioso Win32.LdPinch.gen, mientras que en Master Filer se ha descubierto el troyano Win32.Bifrose.32.Bifrose.

Si un usuario instala uno de estos complementos infectados, el ordenador se infectará cuando el usuario inicie Firefox , y aunque desinstalemos estos complementos el troyano no será eliminado, por lo que para no estar infectados es necesario desinstalar los complementos y pasar uno de los siguientes antivirus:

• Antiy-AVL
• Avast
• AVG
• GData
• Ikarus
• K7AntiVirus
• McAfee
• Norman
• VBA32

Actualmente ambos complementos se han deshabilitado en AMO.

Visto en Blog Mozilla.

Sistemas Afectados

• Oracle WebLogic Server 11gR1 versiones (10.3.1 y 10.3.2)
• Oracle WebLogic Server 10gR3 versión (10.3.0)
• Oracle WebLogic Server 10.0 hasta MP2
• Oracle WebLogic Server 9.0, 9.1, 9.2 hasta MP3
• Oracle WebLogic Server 8.1 hasta SP6
• Oracle WebLogic Server 7.0 hasta SP7

Descripción
Oracle ha publicado una actualización de seguridad fuera de ciclo, afecta al servidor Web Oracle WebLogic Server.

Impacto
Un atacante que explote esta vulnerabilidad sería capaz de ejecutar comandos en el sistema, sin necesidad de disponer de un nombre de usuario y contraseña.

Solución
Instalar la actualización de seguridad desde la página Web de Oracle.

Detalle
Oracle ha publicado una actualización de seguridad fuera de ciclo para el componente Node Manager del servidor Web Oracle WebLogic Server. El parche soluciona la vulnerabilidad CVE-2010-0073. Este componente, cuyo proceso asociado es beasvc.exe y deja abierto el puerto 5556, no requiere un nombre de usuario ni contraseña para ejecutar comandos.

Referencias

• Aviso de seguridad de ORACLE
• ZNNET
• Intevydis.