Via secunia y h-online, nos enteramos de un exploit que puede afectar a Firefox 3.6, liberada recientemente. Afectaría a sistemas con XP y el SP3, así como a sistemas con Windows Vista.

Estos son los datos del reporte de Secunia, aunque no dicen gran cosa:

Descripción: Una vulnerabilidad ha sido reportada en Mozilla Firefox, que puede ser explotada por usuarios maliciosos para comprometer el sistema del usuario.
La vulnerabilidad se debe a un error no especificado y puede ser explotado para ejecutar código arbitrario.
La vulnerabilidad está confirmada en la versión 3.6. Otras versiones también pueden verse afectados.

Solución: No visitar sitios no confiables o seguir los vínculos de confianza. (Juas!!)

Os dejamos una captura donde puede verse que entre el 12 y el 13 de febrero, se reportaron picos altos en cuelgues del navegador:

Si la explotación del fallo ya ha sido ampliamente distribuido o utilizado a gran escala sigue siendo desconocido. Sin embargo, según el análisis en el blog Extraexploit, un aumento significativo en el número de accidentes de Firefox 3.6 se observó en el 12 y 13 de febrero.

No está claro si los accidentes del navegador están relacionados o no con la explotación del fallo, ya que se está investigando. No obstante, las páginas que causan el mayor número de traspiés del navegador, se enumeran en los informes de fallos de Mozilla e incluso los podéis consultar.

Otras fuentes dicen que se trata de un Hoax (Bulo que circula en internet) desacreditando al descubridor del fallo.

En fín, como podéis ver el patio de internet está revuelto.

via | secunia y h-online

El nombre de esta botnet viene de un comentario de un programador italiano en el código fuente:  “in nome di Chuck Norris” (en nombre de Chuck Norris). Este actor norteamericano es popular por protagonizar películas como: Desaparecido en combate, el furor del dragón, Delta Force o la serie de televisión Walker: Texas Ranger

Según la Wiki: Botnet es un término que hace referencia a un conjunto de robots informáticos o bots, que se ejecutan de manera autónoma y automática. El artífice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota y normalmente lo hace a través del IRC: Las nuevas versiones de estas botnets se están enfocando hacia entornos de control mediante HTTP, con lo que el control de estas máquinas será muchos más simple. Sus fines normalmente son poco éticos.

Chuck Norris Botnet lanza ataques para averiguar las contraseñas de otros routers usando un diccionario y una vez dentro, puede cambiar las DNS (Domain Name System) en la configuración del router, con el objetivo de redirigir a los usuarios afectados a páginas webs maliciosas que instalan diferentes virus, malware en el ordenador. La víctima cree que está visitando Facebook o Google por ejemplo  pero realmente están en una web maliciosa.

Infographic: Catalogtree and Systemantics

La forma de eliminar Chuck Norris Botnet es sencilla, ya que este al alojarse en la memoria del router basta con un reinicio de este para eliminarlo. Una vez eliminado hay que cambiar la contraseña del router para no volver a ser víctima de Chuck Norris Botnet.

Por tanto conviene cambiar la contraseña de acceso al router que trae de frábrica y es genérica, por una algo más segura que incluya caracteres tanto alfabéticos como numéricos y algún que otro símbolo ($%&=). También debemos desactivar el acceso remoto, más aun si tenemos un router D-Link, ya que explota una vulnerabilidad en dichos sistemas.

Las máquinas afectadas por Chuck Norris Botnet se encuentran por todo el mundo y afectan a varios ISP y operadores de telecomunicaciones.

via | adszone y PCWorld

Pero esta amenaza, la debemos tomar como alerta, ya que otros casos y otros productos, fácilmente podrían surgir en los próximos días. En este caso en concreto, la falsa herramienta llega en un correo electrónico que aparenta ser enviado por el fabricante del producto, con el malware como archivo adjunto.

El uso de un adjunto, no es lo más usual estos días, desde que la mayor parte de códigos maliciosos se están distribuyendo principalmente como enlaces, y son descargados directamente de sitios web que han sido comprometidos.

Se trata de un archivo comprimido con la utilidad RAR, y el verdadero ejecutable (iClean20.EXE), es un troyano que simula ser la herramienta de limpieza referida.

Este troyano utiliza además un truco más o menos ingenioso. Al ejecutarse, libera dos archivos, uno de ellos la verdadera herramienta, el otro un troyano que abre una puerta trasera en el equipo que infecta. De ese modo, el usuario puede no sospechar lo que realmente ocurre en su PC.

Luego, el troyano abre un puerto al azar, que permite a un atacante remoto ejecutar diversos comandos en el equipo de la víctima.

Lo que importa en este tipo de noticias, es que debemos tener siempre presente que ninguna compañía de software respetable (y mucho menos de seguridad), envía un adjunto ejecutable a sus clientes, y mucho menos cuando estos no lo han solicitado.

Demás está decir que nunca debemos abrir estos adjuntos, así como tampoco hacer clic en enlaces de mensajes que no hemos pedido que nos envíen, aún cuando el remitente parezca conocido.

via | http://www.vsantivirus.com