01 Nov 2007
PDF peligrosos
Una vulnerabilidad en Adobe Reader compartida con Microsoft Windows) está siendo aprovechada para tratar de colarse en nuestros sistemas.
Como ya comentábamos en El Guardián, en junio se popularizó el spam a través de archivos PDF. Incrustaban una imagen apenas legible en archivos en este formato (en el que confían los usuarios) y los spammers se saltaron así todos los filtros hasta que éstos consiguieron adaptarse y contener la avalancha.
Ahora se ha descubierto que se están enviando archivos PDF que si son abiertos en Windows, aprovechan una vulnerabilidad en Adobe Reader y son capaces de
descargar y ejecutar código malicioso.
Más información en: http://elguardian.euskadigital.net y escuchando el PodCast del programa.
22 Jun 2007
Falsa web de actualización de Adobe Shockwave
Atención a una página web que simula ser la web oficial de descarga deShockwave de Adobe Macromedia. La página enlaza con un ejecutable queintenta hacerse pasar por el paquete oficial de Adobe.
La infección no es automática. La ingeniería social que utilizan es la
siguiente. Han comprado un dominio (.net) que apunta a una empresa de
hosting gratuito, donde finalmente se aloja la página.
Se trata de una web de juegos ambientados en la Edad Media. En estapágina, se simulan presentaciones en Flash que no funcionan. Todos losenlaces
(supuestamente rotos) apuntan a una página con esta URL (ofuscada):
hxxp://XXXXX.XXXXspace.com/runescape/flasherror.html
Esta página muestra un mensaje:
Your version of Macromedia Flash Player needs to be updated. Click Here
que lleva a:
hxxp://XXXXX.XXXXspace.com/runescape/shockwave/download.html
Que simula (con bastante acierto) ser la web oficial de descarga de
Adobe (Shockwave Player Download Center). Algunos "errores" que han
cometido los atacantes a la hora de copiar la original es que muestra
una versión anterior, pero solo una comparación con la web original
actual puede hacer que el usuario se percate de esta diferencia.
Curiosamente, a través de JavaScript, han desactivado el uso del botón
derecho en Internet Explorer. Finalmente el malware es descargado (si
el usuario lo consiente) desde:
hxxp://xx.xxxxay.com/flashv10/Shockwave_Installer_Slim.exe
Una de las características más llamativas de esta muestra es el nivel
de detección. A fecha de 22 de junio, sólo dos antivirus lo reconocen,
uno de ellos con firma genérica: ClamAV como Trojan.Pakes-248 y
Webwasher-Gateway como Trojan.Bifrose.NU. Curiosa (y escasa) combinación
de motores que son capaces de detectarlo.
Más información en: http://elguardian.euskadigital.net
Sobre este blog
El Guardián
Inaki El Guardián
El Guardián es la cita con la seguridad.
Podcast y programa de radio en:
http://elguardian.euskadigital.net
Últimos Comentarios
- Malvertising, el lado negativo de la publicidad 2 comentarios comentarios Anónimo me
- Acoso en Facebook 1 comentario comentarios erasmo
- El estado de ánimo de las personas 5 comentarios comentarios El Guardián blog muerto por una administraci El Guardián Anónimo Anónimo
- Criptografía en impresoras 2 comentarios comentarios Primera Voz Olga de Impresoras
- Parches de Microsoft en octubre 5 comentarios comentarios Anónimo Anónimo Anónimo Anónimo Anónimo
Tags
Categorías
Enlaces
Amigos
Fans
Ídolos
Buscar
Suscríbete
Selecciona el agregador que utilices para suscribirte a este blog (también puedes obtener la URL de los feeds):
Archivos
- Diciembre 2009
- Noviembre 2009
- Octubre 2009
- Septiembre 2009
- Agosto 2009
- Julio 2009
- Junio 2009
- Mayo 2009
- Abril 2009
- Marzo 2009
- Febrero 2009
- Enero 2009
- Diciembre 2008
- Noviembre 2008
- Octubre 2008
- Septiembre 2008
- Agosto 2008
- Julio 2008
- Junio 2008
- Mayo 2008
- Abril 2008
- Marzo 2008
- Febrero 2008
- Enero 2008
- Diciembre 2007
- Noviembre 2007
- Octubre 2007
- Septiembre 2007
- Agosto 2007
- Julio 2007
- Junio 2007
