Su computadora puede ser un sitio porno y usted lo ignora


¿Sabe que usted podría estar en el negocio de la pornografía sin saberlo?

Una nueva técnica empleada por piratas informáticos, permite tomar por asalto computadoras personales para convertirlas en sitios pornos.





Las computadoras asaltadas, que son escogidas por los piratas
entre aquellas con mayor velocidad de conexión a Internet,
reciben clandestinamente un troyano capaz de convertirlas en
emisarias de páginas de publicidad pornográficas, incluyendo
formularios para inscribir en esos servicios a posibles
clientes.

Un usuario común, o aquél sin la preparación adecuada, muy
probablemente no notará esta actividad extra en su PC. El
programa solo descarga brevemente el material pornográfico en
la computadora usurpada, y su acción es invisible al dueño
del equipo. No causa daños en la máquina ni perturba su
funcionamiento.

Los piratas informáticos operan un verdadero anillo de
computadoras asaltadas, y pueden dirigir el tráfico a cada
una de éstas, solo unos pocos minutos por vez, antes de
cambiar rápidamente a otras.

Por ejemplo, cuando se visita una página porno o con
publicidad pornográfica, los enlaces que se abren a otros
sitios condicionados, pueden estar hospedados durante diez
minutos en cada una de las computadoras tomadas por asalto.

La idea permite dividir el tráfico pesado entre miles de
máquinas, y el número puede aumentar rápidamente. Además,
hace prácticamente imposible que un proveedor de servicio
pueda bloquear las páginas, porque su origen cambia
constantemente. Esta técnica permite también usar los equipos
invadidos, como generadores de correo basura (spam),
amparados por las mismas "habilidades" para permanecer
encubiertos.

Richard M. Smith, un investigador independiente, publicó la
semana pasada estas afirmaciones en conocidas listas de
seguridad. "Hay gente que está en el negocio de la
pornografía, sin saberlo", afirma en relación a los usuarios
infectados por este troyano. Para Smith, el origen del anillo
de computadoras, podrían ser spammers de origen ruso. Los
últimos análisis parecen desechar esta teoría.

De este modo, los emisores de esta publicidad o del spam,
pueden ocultar su identidad, y resolver uno de los grandes
problemas para los proveedores de pornografía y correo
basura, impedir que cierren sus sitios por denuncias, En este
caso, el usuario común (usted mismo), sería el denunciado, o
al menos su propio proveedor de acceso a Internet.

Hace poco se comentó la acción de un troyano que permite
manejar una red distribuida y oculta de escaneo
(http://www.vsantivirus.com/ev-stumbler.htm). Aunque parece
no estar relacionado, la idea puede tener cosas en común.

Según las últimas investigaciones de Smith, habrían por lo
menos 2,000 computadoras hogareñas secuestradas por esta
técnica.

El troyano funciona como un proxy, sirviendo de
"anonimizador" inverso, para habilitar el acceso a estas
páginas pornográficas (las páginas están en otras máquinas,
ocultas de un rastreo desde la red al buscarse el origen).

Cómo estos sitios están activos periódicamente, en intervalos
de solo diez minutos, es muy dificultoso, por no decir
imposible, bloquearlos. El pirata solo debe tener instalados
servidores DNS para estos dominios (servidores que mantienen
la lista de nombres de sitios y su dirección IP asociada).
Estos servidores están en otras computadoras también bajo su
control. Desde allí se puede automatizar que cada par de
nombre de dominio y dirección IP, cambie cada 10 minutos.

El pasado 4 de julio, algunos de estos servidores fueron
usados para el envío masivo de mensajes solicitando las
contraseñas y números de tarjetas de crédito a incautos
usuarios de PayPal, el sitio de Internet que permite el pago
de servicios on-line.

Algunos de los nombres de dominio usados por el troyano hasta
el momento, son los siguientes:

onlycoredomains.com
pizdatohosting.com
bigvolumesites.com
wolrdofpisem.com
arizonasiteslist.com
nomorebullshitsite.com
linkxxxsites.com

Smith ha monitoreado, tan solo desde el 5 de julio a la
fecha, más de 2,000 direcciones IP únicas como hosts para
cada uno de estos dominios. La mayoría pertenecen a ISP
(proveedores de servicios de Internet), usados por usuarios
domésticos. El más usado es AOL.COM.

El troyano realiza un test de velocidad enviando información
basura al sitio de Microsoft, y los resultados son enviados
al servidor principal del pirata, el cuál solo selecciona las
computadoras con mayor velocidad (cable o conexión DSL por
ejemplo), para usarlas en el anillo.

La forma de instalación de este troyano podría ser a través
de algún gusano, de los que descargan actualizaciones de
Internet, como el Sobig, pero hasta el momento solo es una
teoría. Es muy probable que tanto las redes de intercambio de
archivos, como los canales de chat y las aplicaciones de
mensajería instantánea, hayan sido uno de los vehículos.

Una de las muestras del troyano, tiene como fecha de
compilación de su código, el 8 de julio, lo que hace suponer
que dicho troyano es continuamente modificado y actualizado
por el pirata.

Aunque los antivirus ya tienen muestras de este troyano
(denominado "Migmaf"), y ya es identificado por la mayoría de
los productos actualizados, hay que tener en cuenta su
habilidad de ser modificado, por lo que se recomienda
utilizar por lo menos algún cortafuegos personal, y tomar las
mayores precauciones posibles ante cualquier ejecutable
recibido o descargado de Internet, sobre todo con aquellos no
solicitados, o provenientes de fuentes no comprobadas.

Por lo pronto, la versión actual del troyano, puede ser
identificada por la aparición en la clave HKLM o HKCU
Software Microsoft Windows CurrentVersion Run, del valor
"Login Service".

El ejecutable parece instalarse en la carpeta de Windows
System32 con el nombre de "wingate.exe".

Busque la clave "Login Service" con el editor del registro
(REGEDIT) y bórrela si la tiene. También busque y borre el
archivo "wingate.exe" en WindowsSystem32.


[Publicado con autorización de Enciclopedia Virus]

(*) Este artículo, original de Enciclopedia Virus
http://www.enciclopediavirus.com, es publicado en
VSAntivirus.com con la respectiva autorización. Los derechos
de republicación para su uso en otro medio, deberán
solicitarse en
http://www.enciclopediavirus.com/contacto/index.php

Artículo original:
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=200

Relacionados:

Troj/Backdoor.Migmaf.A. Troyano Proxy para sitios porno
http://www.vsantivirus.com/Backdoor.Migmaf-a.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com


Otras noticias de interés:

Microsoft y Juniper con vulnerabilidad de IPv6
Expertos en seguridad han urgido a Microsoft y Juniper a cubrir en sus productos una vulnerabilidad de IPv6 descubierta hace un año. Se trata de un fallo DoS peligroso, explotable para tirar cualquier máquina Windows conectada a una red de área lo...
Twitter mayor control en aplicaciones de terceros
Los responsables de Twitter no están dispuestos a que su exitosa red de microblogging se vea expuesta a ciberamenazas por culpa de las aplicaciones de terceros, por esta razón han anunciado nuevas medidas para aumentar el control....
Hackeada lndnoticias.com.ar por enesima vez
La site http://www.lndnoticias.com.ar ha sido hackeada en diversas oportunidades....
La obsolescencia programada
En el blog del amigo @sinfallas fue publicado un video muy interesante (de 1 hora 15min) sobre: Comprar, tirar, comprar: La historia secreta de la obsolescencia programada. Recomendado!...
Ubuntu Open Week en Español a partir de Hoy.
A partir de este lunes 09-05-2011 diferentes usuarios de la comunidad Ubuntu de Latinoamérica, impartirán vía iRc charlas en un horario bastante cómodos, donde se expondrán temas tan variados como:...
Disponible eZine Cotejo N° 02 Feb 2011
Esta disponible para su lectura/descarga el número 2 de la eZine Cotejo de Vaslibre. Revista digital bimensual. ...
Vulnerabilidad en ASP.NET
El software de Microsoft ASP.NET es utilizado en un gran número de páginas web. Unos investigadores de seguridad han descubierto un problema en el método que implementa de cifrado AES y podría dejar al descubierto los datos de los usuarios. La vu...
El futuro del software libre en México
A pesar de que el Software Libre tiene casi 20 años de existencia, en México es poco conocido y aprovechado. Sin embargo, se estipula que en un tiempo aproximado de tres años, llegarán a un 40% las empresas mexicanas que lo utilicen, según lo in...
Malware produce pérdidas multimillonarias
Cuando se habla acerca del origen de los códigos maliciosos con los usuarios, muchos de ellos desconocen cuál es la procedencia de los mismos y todavía continuamos escuchando que creen que no existe el desarrollo de malware en la región. Para aqu...
Desbordamiento de búfer en la base de datos MySQL
Se ha descubierto una vulnerabilidad de desbordamiento de búfer en la base de datos 3.23.x, 4.0.14 y versiones anteriores....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computadora
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • ignora
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • porno
  • sabayon
  • seguridad
  • sitio
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • usted
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra