Scob: un misterioso y sofisticado ataque


Este fin de semana hemos asistido a uno de los acontecimientos de seguridad más misteriosos y extraños de los últimos meses. Scob, Toofer, Download.Ject son algunas de los nombres que se dan a un ataque vírico que infecta a usuarios de Internet Explorer que visiten páginas web comprometidas. No es necesario ejecutar nada ni visitar lugares extraños.





Poco a poco se ha ido extendiendo la noticia de un extraño suceso que ha llamado poderosamente la atención a expertos en seguridad. Al parecer, cientos de páginas web que utilizan el servidor HTTP de Microsoft Internet Information Server se han visto comprometidas y son cómplices de la propagación de este sofisticado troyano.

El grupo o individuo atacante consiguió insertar en estos servidores un código JavaScript especial y modificar la configuración del servidor para que añadiese ese mismo código a toda página web servida de forma totalmente transparente. Así, cualquier cliente que visite la página con Internet Explorer, descargará este código JavaScript que se conectará a servidores rusos para instalar definitivamente el troyano. Todo esto sin advertencia alguna para el usuario.

Puede que los atacantes se hicieran con las páginas gracias a alguna vulnerabilidad de las publicadas por Microsoft en su boletín MS04-011, pero esto no ha quedado aún totalmente comprobado.

Este ataque es uno de los más sofisticados que se han observado en los últimos tiempos. Habitualmente se utilizan servidores propios especialmente configurados para infectar navegadores de Microsoft, pero pocas veces se han usado servidores comprometidos ajenos para, a través de ellos, infectar a los clientes que lo visitan. De esta manera el ataque resulta mucho más efectivo porque el usuario no puede sospechar que un lugar que visita habitualmente puede infectarle con una puerta trasera.

El virus Nimda intentó en 2001 un tipo de ataque parecido, pero lo que hace diferente a Scob es la facilidad para pasar completamente desapercibido para el usuario.

Las últimas informaciones apuntan a que el ataque tiene la intención de utilizar las máquinas comprometidas como motores para reenvío de correo basura y robo de contraseñas, pues en algunos casos se ha detectado la instalación de registradores de teclas.

En estos momentos quedan pocos servidores infectados, pero al no conocerse exactamente si la propagación se realiza de forma automática, no se puede asegurar que nuevos servidores sean objetivo del ataque durante las próximas horas si no son convenientemente parcheados.

Más información y referencias:

Todo sobre SCOB y su ataque a servidores de Internet
http://www.vsantivirus.com/faq-scob.htm

Experts studying Internet attack
http://www.cnn.com/2004/TECH/internet/06/24/internet.attack.ap/index.html

Sergio de los Santos
http://www.forzis.com

Fuente:
delitosinformaticos.com



Otras noticias de interés:

Vulnerabilidad del Servicio Print Spooler de Microsoft Windows
Se ha dado a conocer una nueva vulnerabilidad de Mircosoft Windows, esta vez es el servicio Print Spooler...
Retos en seguridad con IPv6
La transición es cada vez más necesaria. El actual protocolo IPv4, que puede gestionar alrededor de 3.700 millones de direcciones, se ha quedado sencillamente sin espacio suficiente para dar cabida a nuevas direcciones, gracias, sobre todo, a la ex...
La virtualización se consolida y el cloud computing comienza a despegar
Según un estudio de Forrester Research cada vez más compañías adoptan estas tendencias, sobre todo los servidores virtualizados. Forrester Research ha llevado a cabo una encuesta a más de 2.600 tomadores de decisiones dentro del ámbito tecnoló...
La verdadera importancia del backup
Mucho se habla de la importancia de las copias de seguridad, pero poco se sabe sobre cómo hacerlas - En este informe despejamos todas las dudas, para que nunca se pierdan los datos importantes. ...
openSUSE 11.3 llegó!
La nueva versión openSUSE 11.3 tiene soporte para 32-bit y 64-bits, trae nuevas características y actualizaciones incluidas SpiderOak para sincronizar sus archivos a través de Internet, Rosegarden para la edición libre de tus archivos de audio, l...
Curso Nivel 1 PHP / MySQL 11 y 12 de septiembre 2010 en Valencia.
Esta pautado a realizarse un nuevo curso básico de PHP Nivel 1 con Mysql, en la ciudad de Valencia estado Carabobo, desde el día 11/09//2010 al 12/09/2010. ...
Vulnerabilidad DoS en Call of Duty 4: Modern Warfare
Luigi Auriemma ha reportado una vulnerabilidad DoS en Call of Duty 4: Modern Warfare, un popular videojuego publicado por Activision que cuenta con opción de multijugador en línea....
Filosofía de un Hacker!!!
En la lista de Metalhack uno de los listeros (El Marguey) posteo el siguiente mensaje, bastante interesante acerca de la filosofía hack: El conocimiento es poder, correcto y ¿para qué lo querés?. Básicamente porque es el medio ha...
Opera 12, ahora con aceleración por hardware
Opera Software ha lanzado la versión final de Opera 12, la última actualización de su navegador web. ...
Peligro de Localización física de personas usado GSM
Echando una palada más de tierra sobre la seguridad de GSM, unos investigadores de la Universidad de Minessota han publicado un estudio titulado Location Leaks on the GSM Air interface que confirma que cualquier atacante, con unos medios técnicos...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • ataque
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • isticado
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • misterioso
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • scob
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra