Malware que infectan archivos MP3, WMA y WMV
Hace más de un mes en el ForoSpyware se presentó un caso bien interesante planteado por un usuario y al cual luego se le fueron sumando más y más sobre un malware que había infectado a todos los archivos MP3, WMA y WMV que este tenía en su PC.
Los usuarios nos fueron enviando muestras del mismo y rápidamente pudimos realizar una herramienta que llamamos FS-MP3Fix la cual se encarga de limpiar todos los archivos que el malware haya modificado y la cual seguimos mejorando y actualizando a nuevas muestras de mutaciones de este.
Este artículo es para describirles un poco más como funciona este malware, como poder limpiarlo con FS-MP3Fix y lo más importante, como prevenirlo.
- Nombre: Trojan.ASF.Hijacker.gen
- Alias: TROJ_MEDPINCH.A, TSPY_LDPINCH.ASG,
- Tipo: Troyano, Gusano, Backdoor.
- Propagación por: Redes P2P.
- Nivel de infección: Alto.
Método de infección:
El malware se propaga camuflado en archivos de formato ASF (Advanced Systems Format), los cuales se muestran como simples mp3 y al momento de ejecutar estos en nuestro sistema se encargan de infectar todos y cada uno de los archivos MP3 que tengamos en nuestra maquina.
Síntomas de la infección:
Saber si fuimos infectados por Trojan.ASF.Hijacker.gen es fácil ya que si intentamos reproducir algún de estos archivos utilizando “Windows Media Player” (y este no esta parchado) al tiempo 10 de la canción se nos abrirá una pagina de IE para que descarguemos un supuesto códec (Windows_Media_Player_Flash_Codec_Plugin.exe) necesario para escuchar correctamente el mp3 y que en realidad es parte un malware de la familia Vundo.
En caso de que usemos otro reproductor de música como por Ej. Winamp o que tengamos el parche de “Windows Media Player” (http://support.microsoft.com/kb/828026/es) no se nos abrirá la pagina ofreciéndonos el falso códec, pero de todas maneras al tiempo 10 de la canción el archivo se cortara y empezara a escuchar distorsionado.
La siguiente imagen muestra las líneas que inyecta el malware en todos sus archivos MP3
Les recomiendo ver el video de la infección realizado por el compañero “axl456” al final del post.
Método de desinfección:
En el caso que hayamos aceptado y ejecutado el falso códec en nuestro equipo la limpieza se tiene que hacer mas extensa ya que primero tendríamos que limpiar el equipo de el malware Vundo por Ej., para luego desinfectar los archivos MP3, pero en este caso nos vamos a concentrar únicamente en limpiar todos nuestros mp3 con solo ejecutar nuestra herramienta FS-MP3Fix.
Para que este funcione es muy importante que realices los pasos correctamente:
1.- Descargar la utilidad FS-MP3Fix.zip
2.- Descomprimirla en tu escritorio para que se genere la carpeta FS-MP3Fix
3.- Mover a dentro de la carpeta FS-MP3Fix todos los archivos infectados por el malware
4.- Hacer doble clic en el archivo FS-MP3Fix.exe
Esta utilidad lo que va a hacer es generar una copia limpia de malwares de cada uno de los archivos MP3 que pongas en la carpeta agregándole al final del titulo la siguiente sigla _FS, por lo que luego se pueden borrar manualmente los archivos mp3 infectados.
Método de Prevención:
Maestros del Web cumple 11 años online.
Maestros del Web cumple 11 años de vida en la red y si bien este es otro de los post que no encajan con los generalmente abordamos desde el blog es más bien a modo personal a modo de agradecimiento.
Más allá de ser parte del equipo de moderadores de Foros del Web, por sobre todo soy uno de los tantos que a formado sus primeras armas en el mundillo del desarrollo Web en MDW y de dónde sigo aprendiendo cada día.
Si hoy estas viendo este blog o si sos usuario de nuestro foro es en gran parte gracias a “Maestros del Web” y su creador Christian Van Der Henst un viajero incasable, emprendedor, visionario, un pionero en todo esto de Internet, foros, comunidades y por si fuera poco una excelente persona.
Feliz Cumpleaños Maestros del Web !!! y gracias por el invaluable aporte que le haces día a día a la red de redes.
Surf Safely
Firefox 3.0.1 Actualización disponible.
La gente de Mozilla acaba de liberar lo que seria su primera actualización de la serie 3.0.x la cual corrige varios problemas encontrados en Firefox 3. y que hacen esta versión de Firefox 3.0.1 más seguro y estable
- Solucionados varios problemas de seguridad.
- Arreglados varios problemas se estabilidad.
- Solucionado un problema en el que la base de datos antifaudes y programas maliciosos no se actualizaba al ejecutarse por primera vez.
- Bajo ciertas circustancias, Firefox 3.0 no guardaba la lista de excepciones de los certificados SSL.
- Actualización de la lista interna de Public Suffix.
- En algunas situaciones, al instalar Firefox 2 en el mismo directorio que se había instalado Firefox 3 hacía que Firefox 2 se comportara de forma inestable. Este problema se ha solucionado como parte de Firefox 2.0.0.15.
- Solucionado un problema en el que al imprimir una región seleccionada del contenido del centro de una página se perdía parte de la salida (bug 433373).
- Solucionado un problema en Linux por el que a los usuarios con conexiones PPP (modem o DSL) Firefox se iniciaba siempre en modo "Sin conexión" (bug 424626).
Se recomienda a todos los usuarios que actualicen su navegador. Pueden hacerlo manualmente seleccionando Buscar actualizaciones… dentro del menú Ayuda. O bien esperar a la actualización automática (una ventana de aviso debería aparecer dentro de las próximas 48 horas).
Surf Safely
Antivirus 2009 = Nuevo Rogue que secuestra la pagina de Google.
Antivirus 2009 Detalles Técnicos:
Nombre Completo: Antivirus2009 (Antivirus 2009)
Peligrosidad: Alta.
Tipo: Rogue Anti-Spyware - Malware
Origen: Desconocido.
Sito web: hxxp://microsoft.browserprotectioncenter.com
Clones: Antivirus 2008,
Método de propagación: Zlob y Vundo. - Falsos codecs
Herramientas para su desinfección: HijackThis + MBAM.
Descripción general:
Antivirus 2009 es un nuevo miembro de la familia de los "Falsos Antispywares" (Rogue) descubierto hace unos días atrás, que por lo visto aunque estamos todavía en el año 2008, como lo hacen con los autos, este ya esta sacando su versión 2009.
Observaciones de nuestra investigación:
Antivirus 2009 tiene la particularidad de que una vez que el troyano infecta nuestro sistema y nos hace descargar este falso programa Antivirus 2009 este aparte de mostrar falsos resultados en su análisis, se encarga de secuestrar nuestra página de Google para incrustar una supuesta recomendación de este:
Google Tips
Google has detected unregistered Antivirus 2009 copy on your computer. Google recommends you to activate Antivirus 2009 to protect your PC from malicious intrusions from the Internet.
Básicamente nos esta diciendo que el mismo Google esta detectando que tenemos una versión sin registrar del Antivirus 2009 en nuestro PC y que nos recomienda que activemos (ósea compremos) este para proteger nuestro PC de intrusiones de malwares por Internet.
El nuevo Apple iPhone 3G y mi review personal.
Si bien este tema no tiene nada que ver con los temas que generalmente abordamos desde el blog, hay que reconocer que este es uno de los Gadget más esperados, hablados, comentados y prácticamente considerado un fenómeno mundial, por lo que luego de estar casi 5 horas en la fila para poder adquirir el nuevo iPhone 3G, voy a postear un pequeño review del iPhone 3G (aunque si buscan un review profesional les recomiendo el realizado por la gente de Engadget.)
Para la compra fue todo una hazaña, mucho calor y casi 5 horas parado haciendo fila hasta las 2 de la madrugada en el Apple Store y cuando toco mi turno y en solo 10 minutos ya salí con mi nuevo iPhone 3G activado con mi mismo número de siempre (por suerte la tienda no cerró hasta atender al último de la fila).
No sé como será por otros países, pero acá en USA hay que disponer de una línea con AT&T y se le aplica una renovación de contrato por 2 años más, aunque poder adquirir el nuevo 3G desde $ 200 dólares cuando anteriormente valía el doble, vale la pena la espera y la renovación del contrato.
Siendo ya usuario de la anterior versión de iPhone tengo que reconocer que mi primer impresión con el 3G fue un poco contradictoria y más que nada debido a que esta nueva versión a cambiado su diseño de aquel metálico gris opaco a un opciones de brillantes plásticos en blanco o negro (al final me decidí por el blanquito 16GB - Foto 1 / 2 / 3) y hubiera estado bueno que al menos el plástico siguiera siendo opaco y no tan brillante, pero buéh…
Que hay de nuevo y que le faltó para mí en el nuevo iPhone 3G:
- Su aumento considerable en la velocidad no solo de Internet sino en el funcionamiento general del equipo gracias a su tecnología 3G.
Aprende qué hacer con Norton 360 de Symantec
Interesante video donde el conocido podcaster “Leo Laporte”, respondiendo a una consulta de una mujer sobre Norton 360, básicamente le dice que lo agarre y le salte arriba y lo tire a la basura…
No creo que la gente de Symantec este muy contenta con el video, pero bueno una imagen dice más que mil palabras, así que véanlo por ustedes mismos:
Surf Safely
SpyBot 1.6 (Final) Disponible para su descarga.
Tal como lo habíamos comentado hace algunos días atrás, si bien la versión final se atrasó unos días más de lo esperado para hacer los últimos retoques, el día de hoy, 8 de Julio, la gente de "Safer-Networking" acaba de anunciar la versión final de SpyBot Search & Destroy 1.6, la cual ya se encuentra disponible para su descargar desde nuestro sitio principal.
Para los que no lo conocen SpyBot Search & Destroy fue junto a Ad-Aware de los pioneros en la detección y eliminación de todo tipo de software espía (Adware / Spyware), el cual se sigue ofreciendo de forma totalmente gratuita y en varios idiomas (incluído español) desde hace 8 años.
Algunas de las mejoras en la versión de SpyBot S&D 1.6
- Mejora la velocidad de exploración
Spybot-S & D 1,6 integra partes del futuro motor de exploración de archivos 2,0 para acelerar el on-demand scan. - Puesta al día a los nuevos navegadores.
Tanto la inmunización y en la exploración on-demand que puedan tener acceso a una docena de diferentes navegadores, que ahora incluye las últimas versiones de los más populares, Firefox y Opera. - Es más fácil el uso.
Hasta ahora el sistema automático de prevención de cambios del registros a sido capaza de bloquear muchas entradas malignas, pero siempre bajo la decisión de usuario. Si bien esta es una gran característica para todos los usuarios experimentados que quieren un control total sobre sus sistemas, hemos decidido que tenemos que hacer esto más fácil para el usuario medio, e integrado de decisiones automatizadas basadas en el sistema de entrada de datos construida a través de nuestro RunAlyzer, que contengan más de un cuarto de millón de decisiones. - OpenSBI
OpenSBI, nuestro intento de apertura de la lucha contra el malware a cualquier persona que quiera participar. OpenSBI significa que hemos publicado documentación y herramientas que cualquiera puede utilizar para crear sus propios patrones de detección de malware para su uso con Spybot-S & D, y compartir con los demás Spybot-S & D usuarios.
Descargar: SpyBot S&D 1.6 (Final)
SpyBot S&D ha sabido ser el número 1 de los Antispywares que si bien sigue siendo muy bueno actualmente, se mantiene en el top 5 de los mejores, aunque en la encuesta que tenemos en el foro para los usuarios este sigue siendo el número 1 y la verdad que lo veo muy bien ya que, por su antigüedad, por estar completamente en español, por su efectividad y su protección 100% gratuitas, sí que se lo merece y espero que en esta nueva versión SpyBot 1.6 vuelva a ser el mejor de los Antispywares.
MSN P2P Manager un nuevo malwares que se transmite por MSN Messenger.
A principios del mes de Junio informábamos sobre el descubrimiento de una nueva metodología en el uso de la ingeniería social para infectar a los usuarios mediante el uso de mensajes en MSN Live Messenger (MSN-Worm nuevas variantes de Malwares transmitidos por Messenger.) que incluso se han venido reportando nuevas direcciones en el foro.
Hoy hemos encontrado otra nueva variante que por el momento se distribuye como "newphoto011.jpeg-www.myspace.com" , y que seguramente vaya a seguir apareciendo otros nombres próximamente.
Esta vez, se oculta un nuevo proceso que se carga "msnp2pmgr.exe" al cual sus autores denominan "MSN P2P Manager" el cual se conecta de nuevo a xili.zerolost.org, en una serie dirección de ip’s: 64.34.203.207, 66.135.32.35, 195.137.213.67, 195.149.74.40, 195.149.74.67, 64.34.161.89, 64.34.202.227.
Como particularidad en este nuevo malware "MSN P2P Manager" encontramos que aparte de infectar el sistema de la víctima y enviarse a todos los contactos de esta, modifica el archivo HOST impidiendo el acceso a determinados sitios de seguridad y actualizaciones de los Antivirus desde el equipo infectado.
Nuestra herramienta MSNCleaner es capaz de detectar y limpiar estas variantes por medio de heurística y estamos preparando una nueva versión para evitar que nuestros sitios sean bloqueados por este.
SpyBot 1.6 RC1 Disponible y a días de la versión final…
Para los que no lo conocen SpyBot Search & Destroy fue junto a Ad-Aware de los pioneros en la detección y eliminación de todo tipo de software espía (Adware / Spyware) y el cual se sigue ofreciendo de forma totalmente gratuita y en varios idiomas (incluído español) desde hace 8 años.
Si bien SpyBot S&D a seguido evolucionado y siempre tratando de estar a la vanguardia para detectar y eliminar las nuevas amenazas, su motor de búsqueda que era uno de los más rápidos, se a ido haciendo cada día más lento dada las más de 600000 variantes que este es capaz de detectar y por eso sus creadores decidieron rescribir por completo este, adaptándolo a las necesidades y estilo de los malwares actuales para brindarle no solo una mayor velocidad de escaneo, sino también mejor detección y remoción de spywares el cual lo incorporara la versión SpyBot S&D 1.6.
En estos momentos podemos descargar desde uno de sus servidores oficiales la versión SpyBot S&D 1.6.0.27 RC1
Descargar: SpyBot S&D 1.6.0.27 RC1
Y según sus creadores, si todo sale bien el próximo viernes 4 de Julio (Día de la independencia de EEUU) se estarán liberando la versión final de SpyBot 1.6 la cual incluirá varias mejoras más.
SpyBot S&D a sabido ser el número uno de los Antispywares y si bien este sigue siendo muy bueno actualmente se mantiene en el top 5 de los mejores, aunque en la encuesta que tenemos en el foro para los usuarios este sigue siendo el numero uno y la verdad que lo veo muy bien ya que por su antigüedad, por estar completamente en español, por su efectividad y su protección 100% gratuitas, sí que se lo merece y espero que en esta nueva versión SpyBot 1.6 vuelva a ser el número uno de los Antispywares.
Porque los MAC’s no están libres de Virus, no, no, no…
En las últimas semanas se vienen reportado más nuevos Troyanos destinados a atacar a usuarios de MAC’s los cuales hasta ahora este problema era solo para usuarios de PC’s.
En este caso se trata de dos troyanos llamados: OSX.Trojan.PokerStealer y AppleScript.THT los cuales mediante la utilización de técnicas de ingeniería social intenta persuadir a sus víctimas a que ejecuten estos en sus equipos para resultar infectados.
AppleScript.THT: Se distribuye como un compilador de AppleScript, llamado ASthtv05 (60 KB de tamaño), o como una solicitud paquete llamado AStht_v06 (3,1 MB de tamaño). Se añade al proceso de login y puede efectuar una serie de funciones, incluido el logging de la pulsación de las teclas. También puede tomar imágenes a través de la cámara iSight o activar la opción de compartir archivos, según informa SecureMac.
OSX.Trojan.PokerStealer: Se distribuye por la red en canales de iChat y P2P disfrazado de programa para Mac OS X llamado "PokerGame". Cuando es ejecutado, se activa ssh en el Mac en que está corriendo, entonces envía el nombre de usuario y contraseña hash, junto con la dirección IP del Mac, a un servidor. Se pide una contraseña de administrador después de mostrar un cuadro de diálogo diciendo: "Un archivo de preferencias corruptos se ha detectado y debe ser reparada." Introducción de la contraseña del administrador permite el programa para cumplir su función. Después de obtener acceso ssh a un Mac, cualquier usuario malicioso pueden intentar tomar el control de ellos, borrar archivos, dañar el sistema operativo, o mucho más.
En ambos casos estos se aprovechan de un fallo dentro de Apple Remote Desktop Agent que existía tanto en Mac OS X 10.4 como en 10.5.
Descargar
- Anti-Malwares
- Anti-Rootkits
- Anti-Spywares
- Anti-Virus
- Antivirus Gratuitos
- Firewalls
- Otras Herramientas
Enlaces
Artículos Recientes
- Malware que infectan archivos MP3, WMA y WMV
- Maestros del Web cumple 11 años online.
- Firefox 3.0.1 Actualización disponible.
- Antivirus 2009 = Nuevo Rogue que secuestra la pagina de Google.
- El nuevo Apple iPhone 3G y mi review personal.
Categorías
Archivo
- Julio 2008
- Junio 2008
- Mayo 2008
- Abril 2008
- Marzo 2008
- Febrero 2008
- Octubre 2007
- Septiembre 2007
- Agosto 2007
- Julio 2007
- Junio 2007
- Mayo 2007
- Febrero 2007
- Diciembre 2006