ATAQUES DE CORREO-E DIRIGIDOS POR UN TROYANO. 8-JUL-2005. Se ha reportado una técnica de correo-e para la difusión de programas troyanos, que pueden evadir medidas preventivas de protección, como antivirus y firewalls, y tienen como objetivo la extracción de información. Estos ataques se han reportado en los EEUU, y tienen como característica que los troyanos atacantes se están esparciendo a cuentas de correo-e específicas, que no son obtenidas del disco duro ni conformadas de forma aleatoria como ha sucedido recientemente con los ataques por virus informáticos. Los mensajes de correo-e usan técnicas de ingeniería social para parecer legítimos, simulando que fue emitido por la organización donde trabaja la víctima, y persuadir a la víctima a actuar en el sentido que se le pide. El programa troyano puede ir adjunto al mensaje de correo-e o ser descargado al hacer click en un link del supuesto mensaje "legítimo" contenido en el mensaje mal intencionado, e instalarse en el equipo de la víctima aprovechándose de algunas vulnerabilidades conocidas en el sistema. Una vez instalado, el troyano puede transmitir información a un atacante remoto utilizando puertos de servicios comunes, como el conocido puerto 80 de TCP que se utiliza generalmente para el tráfico de Internet, lo que dificulta su detección. El atacante remoto puede entonces recopilar información de nombres de usuario y contraseñas de cuentas de correo-e, información de sistemas críicos, escanear la red, usar la máquina infectada para comprometer a otros sistemas y redes, descargar otros programas maliciosos (gusanos, otros troyanos), o transferir documentos y datos a una computadora remota.
RECOMENDACIONES: Educar a los usuarios para reportar cualquier actividad sospechosa en sus equipos (por ej. lentitud, procesos desconocidos, conexiones inesperadas vía Internet) y para que escaneen con el antivirus todo archivo adjunto que reciban por correo-e. Bloquear la entrada de archivos ejecutables en el servidor de correo-e. Actualizar los sistemas con los parches provistos por el fabricante. Bloquear la posibilidad de descargar archivos ejecutables vía HTTP.  Mantener el programa antivirus actualizado. Utilizar un programa anti-spyware y mantenerlo actualizado. Desactivar la funcionalidad de vista en Panel Previo en sistemas clientes de correo-e y predeterminar la opción de visualizar los mensajes de correo-e en modo texto. Revisar las bitácoras o logs de los firewalls de sistemas críticos o redes en busca de conexiones sospechosas de entrada o salida. Realizar análisis de tráfico para identificar posibles computadoras comprometidas que puedan estar extrayendo archivos. Analizar las bitácoras del sistema para determinar si los atacantes están falseando el dominio. Considerar la implementación de listas de direcciones IP para las conexiones de salida a Internet.    «Inicio de Página»

CORREO-E FRAUDULENTO. 8-ABR-2005. Se ha reportado la circulación masiva de un correo-e fraudulento con el texto "Update your windows machine". El correo-e fraudulento intenta engañar al usuario víctima al hacerle creer que proviene de Microsoft, a través de la dirección de correo-e update@microsoft.com, lo cual es falso. El mensaje del correo-e incluye un hipervínculo a un sitio falso que se presenta como el sitio web Windows Update de Microsoft e intenta persuadir al usuario víctima para realizar una instalación express o personalizada. Sin embargo, al hacer click en cualquiera de estas opciones, lo que sucede es la descarga en la máquina del usuario víctima, de un programa ejecutable malintencionado e intenta ejecutarlo de inmediato para realizar una conexión a un servidor IRC de chat, y con ello abre la posibilidad de que se pueda tomar el control de la máquina. Otro riesgo es que la máquina comprometida de esta forma, pueda ser utilizada en otras actividades malintencionadas, como ataques de negación de servicio a otros equipos. «Inicio de Página»