Comentarios en: Cuidado Bloggers!! Infección de Virus con anzuelo desde Technorati

Por: estefania

estefania — Wed, 29 Oct 2008 19:05:38 +0000

hola qisiera saber.. y si me podrias deciir.. como puedo saber.. yoo..
si tengo
control activeX en mi pc..
y si tenerlo es malo y que tan malo… graciias

tefii****

Por: logeo_ono_loveo

logeo_ono_loveo — Mon, 04 Aug 2008 00:25:59 +0000

¿a excepción de las “cookies?
El/los navegadores descargan las paginas enteras a los temp, \Documents and Settings\Usuariox\Configuración local\Datos de programa\xxx\xxx\profile\cache4 y las imagenes en forma de Icono, Archivo IDX, etc, se van a ….\xxx\profile\images
o una RUNDLL32.EXE-3ED1E1B3.pf en c:\WINDOWS\Prefetch
Los virus se pueden camuflar en una imagen, video, etc. Ahi se quedan cantidad de malwares, y algun mal bicho… yo siempre limpio ´todo´al salir…

Pero en este caso casi siempre es mucho mas facil echar mano de la ingenieria social, los bugs son cada vez mas dificiles por sus continuas actualizaciones.
Entiendo que en esta ocasion utilizan ´un anzuelo´

(no usen el win y mejor el linux)

Ciao

Por: Daniel

Daniel — Mon, 14 Jul 2008 12:04:58 +0000

OK, la estoy viendo en este momento. A mi me aparece una página en blanco. Examinando el código fuente, veo que lo que pasa es esto:

Te pregunta si quieres analizar tu PC.
Si dices que sí, te redirige la página del scanner. Si dices que no, también (WTF?).

También comprueba si tu navegador es Internet Explorer, de lo que se puede deducir que con usar FF ya estamos a salvo de ese tipo de páginas.

En la página del scanner, entre otras cosas, me encontré algo gracioso. Sólo mirad esto (es totalmente inofensivo):
http://virus-onlinescanner.com/2008/3/fileslist.js
Es decir, que no escanea nada del PC. Hay una lista de nombres de archivo que aparecerán en el “scanner”, de forma que parecerá un scanner real. Al final, aparecerá una lista de virus que “tenemos” en el PC, por supuesto siempre los mismos xD.

Una vez más, viendo el código fuente (la página no se muestra bien, es evidente que no está hecha para ser vista en FF) me doy cuenta de que simula un scanner y esas cosas, y en algún momento la URL cambia a la del fichero ejecutable. Esto es como cuando haces clic en un link a un fichero: pide confirmación para descargar, y se descarga. Pero no se descarga solo, ni mucho menos se ejecuta al finalizar la descarga (a no ser que lo tengáis configurado así en el navegador).

Sigo con mi opinión, y esta vez más convencido: Se aprovecha de la ingenuidad de los usuarios, no de un bug del navegador.Pensadlo así: Si consiguieran que se instalase “mágicamente”… ¿para qué hacer un scanner falso tan currado?

Sigo sin ser experto en seguridad, pero me parecía muy raro que Javascript tuviese un agujero de seguridad tan importante. Sin embargo, en el código fuente he visto varias veces la palabra “ActiveX”, así que posiblemente sí se aproveche de un bug de seguridad de IE.

Lo que quiero decir con todo esto es que no tengáis miedo de abrir cualquier link. Estáis a salvo si no os dejáis engañar.

Saludos.

Por: Vinagre

Vinagre — Sat, 12 Jul 2008 06:46:55 +0000

Mira Daniel si quieres ver que página es solo tienes que fijarte en la última imagen y verás que está la url del sitio infectado. Por otro lado y con respecto a lo que dices, yo tampoco soy experto en seguridad, ni mucho menos, pero parece demostrado (y se hicieron en su día demostraciones) que solo con visitar una página y visualizar una imagen puedes ser infectados debido a fallos en la seguridad del navegador. Por eso es importante estar actualizado.

Un saludo amigo.

Por: Esta semana he visto… XXXIII | Dondado

Esta semana he visto… XXXIII | Dondado — Fri, 11 Jul 2008 22:57:55 +0000

[...] Asesino nos avisa de que se están utilizando links de blogs para colarnos malware. Ya sabéis: Firefox + NoScript + Sentido [...]

Por: Daniel

Daniel — Fri, 11 Jul 2008 19:25:49 +0000

Hum, pues en ese caso, y a riesgo de parecer escéptico, me gustaría ver y “enfrentarme” a esa página. Por todo lo que he leído, una página web puede contener código HTML (absolutamente inocuo) y un lenguaje de script, como Javascript. Y al diseñar ese lenguaje y sus intérpretes, se tuvo especial cuidado en ese tema: No se puede acceder al PC del cliente, con la única excepción de las “cookies”.

Para hacer una escalada de privilegios, un exploit de navegador, etc, no sé… me parece que se necesitaría algo más que Javascript. Tal vez utilizando algún control ActiveX en Internet Explorer, pero en cualquier caso pide confirmación al usuario.

Nunca he dicho que sea un experto en seguridad informática, sólo digo que en ocasiones ese tipo de spywares se aprovechan de la ingenuidad de los usuarios más que de vulnerabilidades reales del Sistema Operativo.

Repito que me gustaría ver esa página para ver si realmente supone una amenaza tal y como la relatáis vosotros. Estoy abierto a aprender cosas nuevas y a equivocarme, pero mientras no me demostréis lo contrario me seguiré mostrando escéptico.

Saludos.

Por: pinger

pinger — Tue, 08 Jul 2008 18:34:43 +0000

Daniel, esto denota tus conocimientos sobre seguridad informatica. Si esta usando un exploit de navegador nadie te va a pedir permiso para instalar nada, se instalara y punto, ademas con permisos de system, que ni con el administrador puedes eliminar (esto contando que uses internet exploter) o con el permiso del usuario si estas usando firefox.

Y no, usar linux no os garantiza estar a salvo.

Por: Cuidado Bloggers! Infección de virus con anzuelo desde Technorati

Cuidado Bloggers! Infección de virus con anzuelo desde Technorati — Mon, 07 Jul 2008 22:05:49 +0000

[...] Cuidado Bloggers! Infección de virus con anzuelo desde Technoratiwww.vinagreasesino.com/articulos/cuidado-bloggers-infeccion-… por carballet hace pocos segundos [...]

Por: Daniel

Daniel — Mon, 07 Jul 2008 19:57:28 +0000

No hay que ser tan alarmista. Para empezar, el navegador siempre nos pide permiso antes de descargar un archivo. Además de descargarlo, para que nos afecte tendríamos que abrirlo. Eso de “trató de instalarse automágicamente” me parece un poco exagerado.

A no ser que me equivoque, en cuyo caso me gustaría ver la página web en cuastión.

Saludos.

Por: Gatoweb

Gatoweb — Mon, 07 Jul 2008 15:33:52 +0000

Jo Vinagre, todo tiene explicación, tengo uno corporativo, con el server instalado en el PC de la mula, como me chupa ancho de banda para la Xbox lo tengo apagado, y como está en el garaje me da pereza ir a enchufarlo solo para eso. Soy un desastre. Peor hoy mismo lo pongo en marcha…

Por: Yo misma

Yo misma — Mon, 07 Jul 2008 15:01:35 +0000

Uf, qué miedo! Mi antivirus se actualiza automáticamente, así que estoy tranquila, pero aún así gracias por el aviso!

Por: Vinagre

Vinagre — Mon, 07 Jul 2008 13:23:36 +0000

@Gato hay que actualizar más el antivirus.

@Raúl en breve tengo pensado hacer un post sobre este tema, pero fundamentalmente se basa en revisar el código fuente de tu página.

Por: Raúl

Raúl — Mon, 07 Jul 2008 13:19:02 +0000

Ya me has metido el miedo en el cuerpo jajaja

Por cierto, ¿como se pude saber si te han introducido código malicioso en el blog?

Por: Gatoweb

Gatoweb — Mon, 07 Jul 2008 08:52:18 +0000

Buff, espero que mi firefox 3 con no script evite este problema, porque el antivirus lo actualizo de uvas a peras :S.
Por cierto, te he dejado un meme en mi blog.