Trend Micro alerta una amenaza web de rápida propagación

Imagen de isacnet

Forums: 

Miles de dominios y URLs ya han sido infectados

- La amenaza, recientemente descubierta por Trend Micro, explota una vulnerabilidad en los “iFrames” para insertar códigos maliciosos en páginas web legítimos

- Trend Micro OfficeScan, Trend Micro Internet Security y las soluciones para el servidor de correo y el gateway del fabricante ofrecen detección y protección contra el código malicioso

Quito, 20 de junio de 2007.- Trend Micro Incorporated (TSE:4704, NASDAQ: TMIC), líder en servicios y software antivirus para redes y seguridad de contenidos en Internet, alerta de la existencia de un proceso de infección que ha tenido su punto de inicio en Italia durante el pasado fin de semana, y que se está propagando de forma acelerada infectando a numerosos sitios web. El ataque se ha realizado a través de páginas web aparentemente legítimas cargadas con código malicioso que puede instalar un programa keylogger para robar las contraseñas de los usuarios y transformar los equipos informáticos en servidores proxy para llevar a cabo otros tipos de ataques.

Los datos proporcionados por Trend Micro revelan que decenas de miles de usuarios de todo el mundo ya han accedido a estas URLs infectadas viéndose comprometidos al navegar por Internet, y debido a la falta de información sobre la existencia de esta amenaza. El HTML con código malicioso inicial se aprovecha de una vulnerabilidad en los llamados “iFrames” que se utilizan comúnmente en websites y que con frecuencia son explotados. El equipo de investigación de Trend Micro opina que probablemente al principio se trataba de un ataque automatizado realizado desde un ordenador con un “kit de creación de Troyanos”.

En la dirección IP a la que el buscador afectado es redireccionado inicialmente la página que contiene estadísticas del conjunto de herramientas de malware muestra información sobre cómo los usuarios que visitan sitios web legales en Italia están siendo redireccionados al host desde donde se comienza la descarga.

Actualmente, Trend Micro HouseCall (www.trendmicro.com/housecall) puede detectar y limpiar los equipos infectados, y Trend Micro Internet Security así como OfficeScan 8.0 pueden emplearse para bloquear o limpiar los diferentes troyanos y el malware involucrado en la secuencia de infección. Las soluciones de Trend Micro para el gateway y el servidor de correo también proporcionan funciones de bloqueo. La estrategia Total Web Threat Protection Strategy de Trend Micro está contribuyendo de forma muy positiva a la capacidad de protección contra este tipo de ataques.

El mecanismo de propagación se basa en una cadena que se caracteriza por su nivel de complejidad y que aprovecha el hecho de que los propietarios y los usuarios de los websites no son conscientes de que estas páginas, aparentemente de fiar, pueden ser parte del siguiente proceso de infección:

1.- Un primer nivel de URLs es infectado o hackeado a partir de websistes fidedignos. Inicialmente estos sites eran italianos y, en su mayoría, promueven servicios turísticos locales como hoteles, alquiler de vehículos, música o lotería, entre otros.

2.- Estos websites son hackeados y una dirección IP maliciosa (HTML_IFRAME.CU) es insertada en el código html del website legítimo para que los usuarios sean redirigidos a otro sitio web que contiene downloader de javascript (JS_DLOADER.NTJ). Estos son el segundo y tercer nivel de URLs y Trend Micro puede bloquear esta descarga.

3.- A su vez, este tercer nivel de URLs ejecuta la descarga de otro troyano, a partir de un cuarto nivel de URL. Se trata de la URL para TROJ_SMALL.HCK que, al igual que los anteriores, Trend Micro puede bloquear.

4.- Este Troyano descarga otros dos troyanos adicionales, TROJ_AGENT.UHL y TROJ_PAKES.NC desde dos distintas URLs de quinto nivel, ambos pueden ser detenidos con las tecnologías de Trend Micro.

5.- Después, el troyano PAKES descarga un programa para robar la información, que es un variante del troyano SINOWAL, a partir de un sector nivel de URL.

Este ataque es el segundo que se produce contra páginas web italianas legítimas para expandir JavaScript malicioso.

“El ataque que detectamos este fin de semana y que se originó en Italia nos demuestra la continua evolución que están teniendo este tipo de amenazas, que ya no persiguen hacer famoso al autor, sino que tienen un fin totalmente económico. Vulnerando servidores web legales y de empresas reconocidas, se infecta a los usuarios que las visitan, explotando con inteligencia los fallos de seguridad del navegador que utilicen y descargando, en este caso, hasta 5 troyanos que permiten utilizar remotamente el ordenador comprometido o robar la información del mismo sin que el usuario sea conciente de ello”, comenta Claudia Manrique, Directora de Canal de Trend Micro España. “La disponibilidad en Internet de herramientas para realizar este tipo de ataques, cada vez más sofisticadas y complejas, nos advierte que este tipo de ataques se volverán más frecuentes y es necesario que los usuarios sean conciente de ello y tomen las medidas apropiadas para protegerse.”

Consejos de Trend Micro para los usuarios

A continuación ofrecemos algunas recomendaciones a los usuarios domésticos:

- Sea cuidadoso con las páginas que requieren instalación de software. No permita la instalación de nuevo software desde su buscador a menos que esté completamente seguro de que la página web y el proveedor de software son de confianza.

- Explore con soluciones actualizadas de antivirus y anti-spyware cualquier programa descargado a través de Internet. Esto incluye las descargas de redes P2P a través de la web y servidores FTP independientemente de cuál sea la fuente.

- Tenga cuidado de los e-mails inesperados y extraños, a pesar de que conozca al emisor. Nunca abra adjuntos o acceda a los links contenidos en estos mensajes de e-mail.

- Permita la “Actualización Automática” en su sistema operativo Windows y aplique nuevas actualizaciones tan pronto como éstas se encuentren disponbibles.

- Es bueno tener siempre un servicio de escaneo antivirus en tiempo real. Monitorice con regularidad que es actualizado y que el servicio está operativo.

- Existen herramientas de seguridad gratuitas a su disposición en https: // www.trendmicro.com

Por su parte, los usuarios corporativos deberían adoptar los siguientes consejos:

- Desplegar métodos de escaneo http. Debido al predominio de las amenazas web, es sumamente recomendable implementar sistemas de exploración web en las redes medianas y grandes. No sólo es aconsejable desplegarlos, sino que también es importante asegurarse de que los usuarios no pueden evitarlos. La forma más segura de poner en práctica este sistema es que los usuarios envíen todas las peticiones web al dispositivo de escaneo y que se deniegue aquellas que no procedan con las políticas establecidas. El cierre de este hueco es clave en la lucha contra el malware y el spyware desde que la web se ha convertido en el principal punto de acceso a la red corporativa.

- No permitir protocolos innecesarios para entrar en la red corporativa. Los más peligrosos son los protocolos de comunicación P2P e IRC (chat).

- Despliegue software para escaneo de vulnerabilidades en la red. Manteniendo el sistema operativo constantemente actualizado puede minimizar el impacto de cualquier vulnerabilidad y disminuir el riesgo de ser infectado por este tipo de gusanos. Asimismo, es altamente recomendable mantener el resto de las aplicaciones parcheadas.

- Restringir los privilegios de usuario a todos los usuarios de la red. Los rootkits a nivel del kernel son implementados como drivers de un dispositivo y, por lo tanto, niegan a los usuarios la posibilidad de “cargar y descargar los drivers de un dispositivo”. Windows Vista ya proporciona funciones de protección para prevenir este fallo. Es una sabia opción limitar lo que un programa falso puede hacer limitando sus privilegios de usuario. Esto es logrado privando a los usuarios que no lo necesiten de los derechos de administrador.

- Despliegue soluciones de escaneo anti-spyware corporativo. A medida que las amenazas se están convirtiendo en algo cada vez más frecuente en las empresas, los administradores necesitan contar con software específico para detectarlas y detenerlas.

- Apoye y fomente las campañas de concienciación al usuario. La mayoría de los ataques utilizados a día de hoy por el malware intentan engañar al usuario. Está técnica recibe el nombre de ingeniería social y es importante tener en cuenta, pues es la clave en casi todas las infecciones. La mayoría del malware detectado en 2006 podría no haber causado ningún daño al usuario si éste no hubiera hecho clic sobre él. Podemos minimizar el efecto del malware en nuestras redes mostrando a los usuarios cómo los atacantes intentan engañarles. Debemos enseñar medidas de seguridad básicas y cómo reaccionar ante los escenarios de ataque típicos. Es importante mantener informados a los usuarios de las nuevas estrategias de ataque, además de fomentar entre los usuarios la adopción de las políticas de seguridad de la compañía y sus recomendaciones.

Para más información sobre este ataque, puede visitar: www.trendmicro.com o el Blog de Malware en inglés de Trend Micro http://blog.trendmicro.com/another-malware-pulls-an-italian-job/

ok, y cómo asociamos esto

Imagen de Epe

ok, y cómo asociamos esto con linux? alguna regla en el firewall para bloquear esas cosas? alguna forma de indicarle al clamav que chequee esos problemas?

clamscan -r -i /var/www/html tal vez?

Saludos
epe
--
EcuaLinux.com
Ecuador: +(593) 9 9246504, +(593) 2 3412402
USA: +1 305 675 1512, España: +34 917617884


Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

re:ok, y cómo asociamos esto

Imagen de isacnet

Si esa podria ser una medida para curar una infeccion no deseada. Pero creo importante que todos sepamos como lo estan haciendo, para prevenirlo en lugar de tener que curarlo. Ahora con Internet 2, la plataforma en la que trabajemos ya no es importante todos somos vulnerables.

Lo recomendabe es que se mantengan actualizados los parches de las aplicaciones que utilizamos para proveer de nuestra informacion en la web. Lamentablemente los parches de seguridad afectan no solo a wind@ws sino al software en general GNU o no.

Ahora tambien, ¿que tan preparados estamos nosotros para prevenir que nuestros clientes internos de la red se vean afectados?.

Me permito sugerir descargar el siguiente programa gratuito para verificar la reputacion de los sitios web que visitamos, lamentablemente esta diseñado para wind@ws solamente pero funciona en Firefox o Iexplorer lo cual por lo menos nos da alternativas.

http://www.trendsecure.com/portal/en-US/free_security_tools/trendprotect.php?WT.cg_n=home_qa_TP

O bien estos vinculos de un conjunto de herramientas gratuitas que Trend Micro ofrece para los internautas completamente gratis.

http://www.trendsecure.com/portal/en-US/index.php

Voy Transcribir un articulo que posiblemete les sea util (http://www.trendmicro.com/la/about/news/pr/archive/2007/pr290307.htm).

Debido a la evolución de las amenazas y las soluciones de seguridad creadas para combatirlas, la firma de análisis independiente IDC estima que el mercado de manejo de contenido seguro y amenazas alcanzó los $11,600 millones de dólares en 2005 . La Web ha evolucionando para convertirse en el vector principal de infección para los ataques de hoy. Las amenazas Web ahora se conforman a partir de múltiples componentes incluyendo el correo electrónico y elementos que se descargan de la Web. Conforme surgen amenazas que se propagan a través del correo electrónico y la Web, se requieren soluciones que brinden una retroalimentación entre estas dos áreas, permitiendo a las redes ser administradas centralmente y protegerse contra todas estas amenazas. Como una empresa líder en seguridad de contenido, Trend Micro es un experto en soluciones de seguridad tanto para Correo como para Web, las cuales trabajan de forma conjunta para ofrecer una rápida, efectiva y total protección contra amenazas.

Amenazas Web
Concebidas para obtener grandes ganancias económicas, las amenazas Web hacen que las empresas y consumidores estén mucho más expuestos a la fuga y robo de información que antes. Estas amenazas que evolucionan y son cada vez más potentes, entran silenciosamente a la red de una compañía, en tiempo real, poniendo en peligro inmediato los datos, la productividad, la reputación y los ingresos de la compañía.

Las soluciones tradicionales de seguridad que solamente hacen un escaneo o análisis ya no brindan una protección efectiva contra estas amenazas; hoy las organizaciones necesitan implementar una serie de técnicas de múltiples capas y componentes que sean flexibles y adaptables para solucionar la constante evolución de las amenazas Web. La mayoría de las soluciones de filtrado de URL y de análisis de contenido sólo protegen de manera reactiva contra las amenazas conocidas. Para combatir efectivamente las amenazas originadas de la Web, son necesarias nuevas soluciones basadas en la reputación de sitios web que trabajen en conjunto con el filtrado de URL.

“Cuando el empleado de una empresa utiliza la Web, ya sea para actividades de investigación, navegar o socializar, eleva automáticamente el riesgo de la seguridad de su organización y los gerentes corporativos necesitan las herramientas para entender mejor y tomar decisiones sobre ese riesgo”, afirmó Miguel Macedo, Director del segmento Enterprise de Trend Micro. “La capacidad de conocer la credibilidad y reputación de un sitio antes de entrar a él es como realizar una investigación de crédito antes de firmar un acuerdo comercial. Con ataques dañinos y a menudo dirigidos, un sitio normalmente confiable podría ser secuestrado por código malicioso. Trend Micro Total Web Threat Protection ofrece lecturas y restricciones de seguridad que reducen el riesgo de fuga de información confidencial y la pérdida de identidad, y el daño a la imagen de la compañía como consecuencia de los ataques originados en la Web”.

Reputación de la Web
Con una de las bases de datos de reputación de dominios más grande del mundo, Trend Micro tiene registrados más de 300 millones de dominios y más de 2,000 millones de consultas diarias. La tecnología de reputación web de Trend Micro utiliza el historial más grande de reputación de dominios de la industria y ofrece actualizaciones continuamente. Esta visibilidad le da a Trend Micro una ventaja distintiva para responder rápidamente a las amenazas del correo electrónico y la Web y remediarlas.

Trend Micro Total Web Threat Protection Strategy es una defensa de múltiples capas contra las amenazas Web, que integra tecnologías innovadoras implementadas en el gateway, en la red, en la PC, y “en la nube de Internet” que trabajan perfectamente juntas para responder proactivamente a amenazas Web nuevas y emergentes. Las soluciones de seguridad de Trend Micro utilizan una combinación estrechamente integrada de reputación Web, filtrado de URL, tecnología antivirus, anti-spyware y anti-spam para repeler las amenazas Web.

Saludos...

__
_____________________________________
Trend Micro el mejor antivirus del mundo 40% del mercado mundial de gateway
240 millones de usuarios no pueden equivocarse
http://www.trendmicro.com.ec
Mercadeo@trendmicro.com.ec

_______________________________________
ISACNET S.A.
Ecuador: +593-2-3238590
Perú: +51-1-4223796

HP y Trend Micro, lo mejor de 2 mundos en un solo Socio de Negocios
http://www.isacnet.com.pe

[gran bostezo]Ahhhh[/gran

Imagen de pepo

[gran bostezo]Ahhhh[/gran bostezo]

Deberiamos tener un foro para este tipo de propagandas, y asi poder dejarlas en el olvido.

------------------------------------------------
Linux User Registered #232544
Jabber : pepo@jabberes.org
Ekiga : pepo@ekiga.net
ICQ : 337889406
GnuPG-key : www.keyserver.net

------------------------------------------------
Linux User Registered #232544
Jabber : pepo@jabberes.org
Ekiga : pepo@ekiga.net
GnuPG-key : www.keyserver.net