[Wikies-l] [Fwd: una-al-dia (06/11/2006) Un artículo de la Wikipedia alemana utilizado para distribuir malware]

Jue Nov 9 09:12:39 UTC 2006

Disculpad aquellos que ya recibais este mail por vuestra cuenta, pero me
ha parecido interesante.

Saludos,
Richy

-------- Mensaje original --------
Asunto:     una-al-dia (06/11/2006) Un artículo de la Wikipedia alemana
utilizado para distribuir malware
Fecha:     Tue, 07 Nov 2006 06:15:01 +0200
De:     noticias en hispasec.com
Responder a:     unaaldia-comentarios en hispasec.com
Para:     unaaldia en hispasec.com

----------------------------SPOT--------------------------
 CONSULTORIA DE SEGURIDAD INFORMATICA DE HISPASEC SISTEMAS

 Hispasec Sistemas ofrece sus servicios de consultoría técnica
 y estratégica para todo lo relacionado con la seguridad y las
 tecnologías de la información.

 Más información: http://www.hispasec.com/corporate/consultoria.html

 info en hispasec.com                    Telf. 902 161 025
----------------------------SPOT--------------------------

 -------------------------------------------------------------------
  Hispasec - una-al-día                                  06/11/2006
  Todos los días una noticia de seguridad          www.hispasec.com
 -------------------------------------------------------------------

 Un artículo de la Wikipedia alemana utilizado para distribuir malware
 ---------------------------------------------------------------------

Los creadores de malware aprovechan de nuevo la credibilidad de una
página consolidada para intentar infectar a usuarios de sistemas
Windows. En la Wikipedia alemana se insertó un artículo fraudulento
sobre el famoso gusano Blaster que enlazaba a la descarga de un malware
que pretendía ser una solución para una ficticia nueva variante.

Durante la semana pasada, al visitar el artículo sobre el virus Blaster
en la Wikipedia alemana, se podía observar un texto completamente falso
sobre la aparición de una nueva variante. El mismo artículo contenía un
enlace a la descarga de una solución, que no era más que un nuevo
malware que intentaría infectar al que lo ejecutase en Windows.

No se trata de una información sesgada o errónea la que se publicó en
la enciclopedia libre (un problema que sufren con ciertos artículos
sensibles), sino directamente falsa y destinada a la infección y
propagación de malware. Tampoco es que se alojase el malware en los
servidores de la Wikipedia, sino que contenía un enlace a un ejecutable
en el exterior. Para "promocionar" la descarga del malware, se envió
correo basura. En él se hablaba de esta falsa nueva versión de Blaster
y se apuntaba a la Wikipedia como medio fiable de ampliar información
sobre el caso. Los responsables de la enciclopedia pronto eliminaron el
artículo, aunque tardaron un poco más en darse cuenta de que permanecía
en ediciones anteriores todavía almacenadas y que, aunque no
directamente, el artículo fraudulento era accesible incluso después
de eliminar la última versión.

De nuevo, y como ya ha ocurrido en varias ocasiones, se aprovecha
la credibilidad de una página consolidada para intentar infectar a
usuarios. Una técnica que debe gozar seguro de cierto "éxito", teniendo
en cuenta que todavía muchos usuarios toman como válido incluso el
contenido de un correo reenviado que les llega con información sobre
"el último virus que destroza el ordenador". Si las cadenas de correo
reenviadas con bulos y fantasías víricas perduran desde hace años (los
usuarios todavía las reenvían porque se las creen, no hay más motivo) es
de esperar que no duden ni un segundo en descargar y ejecutar un archivo
enlazado desde una página en la que confían habitualmente. Este método
no es más que una evolución (en cierta manera lógica) que intenta
infectar al segmento de incautos que no cree ya en el contenido de
correos pero todavía se fía de todo lo que provenga de una página "de
confianza" que lo confirme. Y nada mejor que la Wikipedia, cuyo carácter
libre (ventaja y desventaja a la vez) puede facilitar la modificación
temporal de los artículos.

Y es que los consejos "tradicionales" en los que se permitía confiar
en el contenido de páginas legítimas ya no son válidos. Pueden ser
modificados o verse a través de un sistema comprometido. Lo observamos
constantemente con casos recientes de phishing, donde cada vez menos se
recurre a webs montadas especialmente para el robo de datos y se intenta
integrar la estafa para que tenga efecto a través de la propia página
legítima (con la ayuda de troyanos, básicamente), o de banners de
terceros infectados, visibles a través de páginas de confianza (ya
hablamos de los casos de MySpace y Dilbert).

Ante este panorama de desconfianza generalizada, los consejos que "nunca
fallan" (dentro de las limitaciones de la seguridad) siguen siendo los
mismos de siempre: mantener actualizado el sistema y el antivirus, estar
al tanto de las nuevas vulnerabilidades y aplicar las contramedidas
aconsejadas (mientras no exista actualización oficial), cargar los
programas con los mínimos privilegios y utilizar servicios como
Virustotal.com antes de ejecutar archivos, ya provengan de enlaces en
la Wikipedia, de fuentes no confiables o (lo que resulta equivalente)
de cualquier lugar.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2935/comentar

Más información:

Hackers hijack Wikipedia page to spread malware
http://www.sophos.com/pressoffice/news/articles/2006/11/wikipedia-malware.html

Sergio de los Santos
ssantos en hispasec.com

 Tal día como hoy:
 -----------------

06/11/2005: Actualización de OpenSSL para Red Hat Enterprise Linux 2.1
    http://www.hispasec.com/unaaldia/2570

06/11/2004: Actualización a Apache 1.3.33
    http://www.hispasec.com/unaaldia/2205

06/11/2003: Informe SANA de octubre: Cerca de 500 alertas en un mes
    http://www.hispasec.com/unaaldia/1838

06/11/2002: Dos problemas de denegación de servicio en Oracle9iAS Web Cache
    http://www.hispasec.com/unaaldia/1473

06/11/2001: Vulnerabilidades en Sendmail 8.12.0 y previas
    http://www.hispasec.com/unaaldia/1108

06/11/2000: Ataque de denegación de servicio sobre BIND 8.2.2-P5 y previas
    http://www.hispasec.com/unaaldia/743

06/11/1999: Seis problemas de seguridad en el BIND
    http://www.hispasec.com/unaaldia/375

06/11/1998: Netscape guarda todas las contraseñas
    http://www.hispasec.com/unaaldia/10

 -------------------------------------------------------------------
  Claves PGP en http://www.hispasec.com/directorio/contacto
 -------------------------------------------------------------------
  Bajas:   mailto:unaaldia-request en hispasec.com?subject=unsubscribe
  Altas:   mailto:unaaldia-request en hispasec.com?subject=subscribe
 -------------------------------------------------------------------
  (c) 2006 Hispasec               http://www.hispasec.com/copyright
 -------------------------------------------------------------------