Troyano Flashback (información) - Cómo eliminar el Troyano Flashback

**ironman1** · 05-abr-2012

Probablemente estemos ante el troyano más grande en torno a Mac que hayamos visto por las cifras que están comenzando a circular. Aunque Apple emitió un parche de seguridad para Java en el día de ayer, según la compañía de antivirus Dr. Web, más de 600.000 Macs están infectados con el troyano Flashback. Se trataría de un paquete de malware diseñado para robar información personal de los usuarios una vez ha entrado en los equipos.

De los equipos infectados y según la firma de seguridad, más de la mitad (57%) se encontrarían en Estados Unidos (274 con base en Cupertino), un 20% en Canadá y el resto repartido en el mundo como vemos en la imagen.

Flashback se habría encontrado en septiembre del 2011 y se trata de un troyano que se hace pasar por una actualización del plugin de Adobe Flash Player, una detección que no ha evitado su desarrollo en los últimos meses evolucionando para explotar las vulneraciones de Java y atacando los sistemas.

¿Y cómo se propagó? Desde Apple ya se ha emitido una serie de parches para paliar su infección pero como apuntan en Cnet, su método de propagación resultaba de la visita a webs con el applet Java malintencionado, lo que acabaría en la ejecución arbitraria de código con los privilegios del usuario actual. Una vez instalado, Flashback inyecta código en los navegadores web u otras aplicaciones como Skype para recolectar contraseñas e información personal de los usuarios.

La firma F-Secure informaba de una serie de pasos para saber si tu equipo está o no infectado, además recomendaba que:

"Se actualice el cliente Java a la ultima versión, deshabilitarlo cuando no sea necesario, o mejor aún, eliminarlo por completo si realmente no lo necesitas".

El parche que Apple ha ofrecido hace unas horas está disponible en OS X 10.6 y 10.7 desde el administrador de actualizaciones.

Fuente

**carmen10** · 06-abr-2012

baduser · 06-abr-2012

**VJEVans** · 06-abr-2012

Wa !! .. gracias por la info compañero ..

**Tururojo** · 06-abr-2012

Gracias por la Informacion, desde luego que Java va a tener que ponerse las pilas y reforzar la seguridad de su software, pues con windows le pasa igual, es todabia mas vulnerable.

**cejd** · 11-abr-2012

La red zombi -Flashfake- también está presente en España con más de 4.000 Macs infectados

Siguiéndole la pista al descubrimiento de una red de bots Flashback Mac OS X* (Flashfake) que se propaga como un applet de Java que simula ser una actualización para el reproductor de Adobe Flash, expertos analistas de Kaspersky Lab han podido confirmar que más de 670 mil ordenadores Mac han sido infectados a nivel mundial.

Macintosh Malware
Kaspersky Lab pone a disposición de los usuarios de Mac una herramienta gratuita que determina si el equipo está o no infectado y elimina Flashback si se detecta: http://www.flashbackcheck.com.

El análisis de Kaspersky Lab ha registrado más de 670 mil bots únicas que se conectaron a su servidor en menos de 24 horas, utilizando un total de más de 620 mil direcciones IP. Aproximadamente 300.917 de los bots activos se conectaron desde los Estados Unidos, seguido por 94.625 en Canadá, 47.109 en el Reino Unido y 41.600 en Australia. El análisis confirmó que este virus troyano también está presente en España aunque sólo se han detectado 4.304 Macs infectados.

Aunque desde Kaspersky Lab no pueden confirmar ni desmentir que todos las bots que se conectaron a su servidor a nivel mundial ejecuten Mac OS X, sí obtuvieron una estimación aproximada utilizando técnicas de toma de huellas dactilares pasivas del sistema operativo. “Más del 98 por ciento de los paquetes de red entrantes fueron probablemente enviados por hosts de Mac OS X.

Aunque esta técnica se basa en heurística y no es 100% fiable, puede ser utilizada para hacer estimaciones del orden de magnitud”, explica Soumenkov. “Por lo tanto, es muy probable que la mayoría de las máquinas que ejecutan el bot Flashfake sean Macs”.

Se recomienda a los usuarios de Mac, especialmente aquellos con versiones antiguas de OS X, que ejecuten actualizaciones de su software lo antes posible.

¿Cómo determinar si su Mac está infectado?

• Visite el sitio de Kaspersky Lab en http://www.flashbackcheck.com para saber si su equipo está infectado y verificar su UUID en la base de datos de Flashfake

Si su UUID está en la base de datos, es necesario desinfectar el Mac:

• Utilice la solución gratuita de Kaspersky Lab, además de para explorar automáticamente su sistema, eliminar Flashback si es detectado.

• Descargue una versión de prueba de Kaspersky Anti-Virus 2011 para Mac. Este programa ofrece una protección completa contra todos los programas maliciosos conocidos para Mac OS X, incluyendo Flashback.

baduser · 11-abr-2012

jajajaja, ya nadie se salva.... jajajaja

**cejd** · 11-abr-2012

Más de 600.000 Mac OS X infectados por FlashBack, incontables Windows afectados por el malware de la policía… todos con un origen común: para instalarse en el equipo, aprovechan un fallo de seguridad en Java. El entorno de ejecución de Java (JRE) sigue siendo uno de los programas más peligrosos que se pueden tener en un ordenador, independientemente del sistema operativo.

Por qué JRE

JRE es el entorno necesario para que el sistema entienda los programas hechos en Java y los ejecute. También es el entorno necesario para que el navegador entienda los “applets”, que son pequeños programas que se suponen añaden funcionalidad a la web. Aunque JRE esté pensado para correr código Java en una sandbox, las vulnerabilidades permiten salir de ese círculo cerrado y ejecutar código en el equipo. Java es tremendamente popular, precisamente por ser multiplataforma, podemos encontrar JRE en todos los sistemas operativos conocidos (en su versión de Oracle o en la de OpenJRE). Cuando se encuentra un fallo en JRE, normalmente las potenciales víctimas son todos los sistemas.

JRE es muy atacado desde hace tiempo. Uno de los últimos fallos ha permitido disponer a los atacantes de una jugosa arma entre las manos. El fallo CVE-2012-0507, corregido el 14 de febrero por Oracle, permitía la ejecución de código. Era una vulnerabilidad potente, de la que se conocían los detalles, reciente y ubicua… una bomba de relojería. Desde entonces, se ha usado para instalar malware a través del navegador de los sistemas no actualizados. Por ejemplo, todos nuestros análisis del malware de la policía indicaban que el virus había llegado al sistema de esta forma. Ahora, con la botnet de Mac OS X destapada, también se descubre que han estado usando este fallo para ejecutar el código necesario. Desde el 25 de marzo además, la vulnerabilidad se incorporó a varios kits de explotación usados por atacantes. Estos kits permiten, con una cómoda interfaz, crear exploits personalizados. Por ejemplo Blackhole. Este kit permite, a través de golpe de ratón, preparar un exploit en el que, según el sistema operativo, versión, navegador, etc. se prepara un ataque concreto.

Además, se está dando un fenómeno muy interesante, y es que en los últimos tiempos el mercado de los navegadores está más repartido (no se centran tanto en Internet Explorer) y la seguridad de estos programas ha mejorado sustancialmente. En concreto, Chrome e Internet Explorer con el uso que hacen de Mandatory Integrity Control en Windows, ASRL y DEP, son cada vez más complejos de explotar vulnerabilidades. Los atacantes abandonan así estas “víctimas” y se centran en “la fruta más baja” que* pasa por los plugins comunes: Java, Flash, PDF, etc.

Los antivirus no ayudan

Cuando se aprovecha uno de estos fallos, los motores antivirus tienen dos oportunidades de detener el problema:

Cuando el usuario descarga el “applet” (archivo .jar) que contiene el código para la explotación (aprovechar el fallo en JRE y escapar de la* sandbox). Cuando este exploit descarga el payload real (el malware final con el que se infecta al usuario).

Por poner un ejemplo, las primeras muestras de applets que aprovechan la vulnerabilidad CVE-2012-0507, suelen ser detectadas por 2-3 motores antivirus por firmas en Virustotal cuando llegan por primera vez. Al malware de la policía le ocurre exactamente lo mismo. Las muestras muy recientes no son detectadas por más de 3-4 motores. A los pocos días, tanto el .jar como el .exe comienzan a ser mucho más reconocidos.

Las actualizaciones tampoco

Actualizar, actualizar y actualizar, es la primera ley de la seguridad. Pero en esto tampoco estamos de suerte.

Los usuarios de Windows podían actualizar desde el mismo 14 de febrero de forma automática… pero no todos lo hicieron, evidentemente.

- Los usuarios de Red Hat tenían paquetes rpm actualizados el día 15 de febrero.
- Los de Ubuntu el día 24 de febrero.
- Los de Debian, podían descargar los paquetes .deb de openjdk el día 28 de febrero.
- HP-UX podían actualizar con paquetes el 28 de marzo.
Los usuarios de Apple tuvieron que esperar al 5 de abril, sin ninguna posibilidad de actualizar. Se debe a que implementación para OS X le corresponde a Apple y no a Oracle. Esto dejó una ventana de exposición muy amplia que los atacantes han sabido aprovechar.

En resumen, deshabilitar Java del navegador (e incluso del sistema completo) puede ser una de las mejores opciones para prevenir que se aprovechen vulnerabilidades a través del navegador.

**cejd** · 11-abr-2012

Apple anunció que lanzará una herramienta para detectar y eliminar el troyano Flashback de los Mac, aunque no detalló una fecha de publicación del software. En el sitio de soporte, Apple aseguró que están conscientes de la infección.

“Apple está desarrollando software que detectará y eliminará el malware Flashback. Adicionalmente a la vulnerabilidad de Java, el malware Flashback se apoya en servidores mantenidos por los autores del malware, que desempeñan muchas de sus funciones críticas. Apple está trabajando con ISPs alrededor del mundo para desactivar la red de control y comando“, declaró la empresa.

Esta última medida suena similar a lo que realiza de forma regular Microsoft.

Aunque Flashback existe desde el año pasado, últimamente ha sido muy publicitado después de que se revelara que más de medio millón de Macs estaba infectado a nivel mundial – con 13.000 de ellos en Latinoamérica. Existen formas de eliminar el malware a mano, pero requieren cierto conocimiento más técnico. La solución de Apple apuntará seguramente a los usuarios corrientes.

Fuente: Fayerwayer

**Abraxas** · 11-abr-2012

A problemas colosales, soluciones colosales ^^

05-abr-2012	#1
ironman1 VIP ZONE Ingreso: junio-2010 Mensajes: 2.864 Sexo: País: Agradecido: +5.830	Troyano Flashback (información) - Cómo eliminar el Troyano Flashback Probablemente estemos ante el troyano más grande en torno a Mac que hayamos visto por las cifras que están comenzando a circular. Aunque Apple emitió un parche de seguridad para Java en el día de ayer, según la compañía de antivirus Dr. Web, más de 600.000 Macs están infectados con el troyano Flashback. Se trataría de un paquete de malware diseñado para robar información personal de los usuarios una vez ha entrado en los equipos. De los equipos infectados y según la firma de seguridad, más de la mitad (57%) se encontrarían en Estados Unidos (274 con base en Cupertino), un 20% en Canadá y el resto repartido en el mundo como vemos en la imagen. Flashback se habría encontrado en septiembre del 2011 y se trata de un troyano que se hace pasar por una actualización del plugin de Adobe Flash Player, una detección que no ha evitado su desarrollo en los últimos meses evolucionando para explotar las vulneraciones de Java y atacando los sistemas. ¿Y cómo se propagó? Desde Apple ya se ha emitido una serie de parches para paliar su infección pero como apuntan en Cnet, su método de propagación resultaba de la visita a webs con el applet Java malintencionado, lo que acabaría en la ejecución arbitraria de código con los privilegios del usuario actual. Una vez instalado, Flashback inyecta código en los navegadores web u otras aplicaciones como Skype para recolectar contraseñas e información personal de los usuarios. La firma F-Secure informaba de una serie de pasos para saber si tu equipo está o no infectado, además recomendaba que: "Se actualice el cliente Java a la ultima versión, deshabilitarlo cuando no sea necesario, o mejor aún, eliminarlo por completo si realmente no lo necesitas". El parche que Apple ha ofrecido hace unas horas está disponible en OS X 10.6 y 10.7 desde el administrador de actualizaciones. Fuente Última edición por Eloy58; 12-abr-2012 a las 04:39 Razón: resubir imágenes

06-abr-2012	#2
carmen10 Erudito Ingreso: agosto-2010 Ubicación: En Andalucia Mensajes: 17.081 Sexo: País: Signo: Agradecido: +22.675	*El que busca la verdad corre el riesgo de encontrarla.*

11-abr-2012	#6
cejd Ayudante Frecuente Ingreso: noviembre-2011 Ubicación: Córdoba (Argentina) Mensajes: 490 Sexo: País: Signo: Agradecido: +1.823	Cuidado los usuarios de MAC!!!!! La red zombi -Flashfake- también está presente en España con más de 4.000 Macs infectados Siguiéndole la pista al descubrimiento de una red de bots Flashback Mac OS X* (Flashfake) que se propaga como un applet de Java que simula ser una actualización para el reproductor de Adobe Flash, expertos analistas de Kaspersky Lab han podido confirmar que más de 670 mil ordenadores Mac han sido infectados a nivel mundial. Macintosh Malware Kaspersky Lab pone a disposición de los usuarios de Mac una herramienta gratuita que determina si el equipo está o no infectado y elimina Flashback si se detecta: http://www.flashbackcheck.com. El análisis de Kaspersky Lab ha registrado más de 670 mil bots únicas que se conectaron a su servidor en menos de 24 horas, utilizando un total de más de 620 mil direcciones IP. Aproximadamente 300.917 de los bots activos se conectaron desde los Estados Unidos, seguido por 94.625 en Canadá, 47.109 en el Reino Unido y 41.600 en Australia. El análisis confirmó que este virus troyano también está presente en España aunque sólo se han detectado 4.304 Macs infectados. Aunque desde Kaspersky Lab no pueden confirmar ni desmentir que todos las bots que se conectaron a su servidor a nivel mundial ejecuten Mac OS X, sí obtuvieron una estimación aproximada utilizando técnicas de toma de huellas dactilares pasivas del sistema operativo. “Más del 98 por ciento de los paquetes de red entrantes fueron probablemente enviados por hosts de Mac OS X. Aunque esta técnica se basa en heurística y no es 100% fiable, puede ser utilizada para hacer estimaciones del orden de magnitud”, explica Soumenkov. “Por lo tanto, es muy probable que la mayoría de las máquinas que ejecutan el bot Flashfake sean Macs”. Se recomienda a los usuarios de Mac, especialmente aquellos con versiones antiguas de OS X, que ejecuten actualizaciones de su software lo antes posible. ¿Cómo determinar si su Mac está infectado? • Visite el sitio de Kaspersky Lab en http://www.flashbackcheck.com para saber si su equipo está infectado y verificar su UUID en la base de datos de Flashfake Si su UUID está en la base de datos, es necesario desinfectar el Mac: • Utilice la solución gratuita de Kaspersky Lab, además de para explorar automáticamente su sistema, eliminar Flashback si es detectado. • Descargue una versión de prueba de Kaspersky Anti-Virus 2011 para Mac. Este programa ofrece una protección completa contra todos los programas maliciosos conocidos para Mac OS X, incluyendo Flashback. El amor es dar a alguien la capacidad de destruirte y confiar que no lo haga.

11-abr-2012	#8
cejd Ayudante Frecuente Ingreso: noviembre-2011 Ubicación: Córdoba (Argentina) Mensajes: 490 Sexo: País: Signo: Agradecido: +1.823	Los fallos de seguridad de Java activan el número de infecciones Más de 600.000 Mac OS X infectados por FlashBack, incontables Windows afectados por el malware de la policía… todos con un origen común: para instalarse en el equipo, aprovechan un fallo de seguridad en Java. El entorno de ejecución de Java (JRE) sigue siendo uno de los programas más peligrosos que se pueden tener en un ordenador, independientemente del sistema operativo. Por qué JRE JRE es el entorno necesario para que el sistema entienda los programas hechos en Java y los ejecute. También es el entorno necesario para que el navegador entienda los “applets”, que son pequeños programas que se suponen añaden funcionalidad a la web. Aunque JRE esté pensado para correr código Java en una sandbox, las vulnerabilidades permiten salir de ese círculo cerrado y ejecutar código en el equipo. Java es tremendamente popular, precisamente por ser multiplataforma, podemos encontrar JRE en todos los sistemas operativos conocidos (en su versión de Oracle o en la de OpenJRE). Cuando se encuentra un fallo en JRE, normalmente las potenciales víctimas son todos los sistemas. JRE es muy atacado desde hace tiempo. Uno de los últimos fallos ha permitido disponer a los atacantes de una jugosa arma entre las manos. El fallo CVE-2012-0507, corregido el 14 de febrero por Oracle, permitía la ejecución de código. Era una vulnerabilidad potente, de la que se conocían los detalles, reciente y ubicua… una bomba de relojería. Desde entonces, se ha usado para instalar malware a través del navegador de los sistemas no actualizados. Por ejemplo, todos nuestros análisis del malware de la policía indicaban que el virus había llegado al sistema de esta forma. Ahora, con la botnet de Mac OS X destapada, también se descubre que han estado usando este fallo para ejecutar el código necesario. Desde el 25 de marzo además, la vulnerabilidad se incorporó a varios kits de explotación usados por atacantes. Estos kits permiten, con una cómoda interfaz, crear exploits personalizados. Por ejemplo Blackhole. Este kit permite, a través de golpe de ratón, preparar un exploit en el que, según el sistema operativo, versión, navegador, etc. se prepara un ataque concreto. Además, se está dando un fenómeno muy interesante, y es que en los últimos tiempos el mercado de los navegadores está más repartido (no se centran tanto en Internet Explorer) y la seguridad de estos programas ha mejorado sustancialmente. En concreto, Chrome e Internet Explorer con el uso que hacen de Mandatory Integrity Control en Windows, ASRL y DEP, son cada vez más complejos de explotar vulnerabilidades. Los atacantes abandonan así estas “víctimas” y se centran en “la fruta más baja” que* pasa por los plugins comunes: Java, Flash, PDF, etc. Los antivirus no ayudan Cuando se aprovecha uno de estos fallos, los motores antivirus tienen dos oportunidades de detener el problema: Cuando el usuario descarga el “applet” (archivo .jar) que contiene el código para la explotación (aprovechar el fallo en JRE y escapar de la* sandbox). Cuando este exploit descarga el payload real (el malware final con el que se infecta al usuario). Por poner un ejemplo, las primeras muestras de applets que aprovechan la vulnerabilidad CVE-2012-0507, suelen ser detectadas por 2-3 motores antivirus por firmas en Virustotal cuando llegan por primera vez. Al malware de la policía le ocurre exactamente lo mismo. Las muestras muy recientes no son detectadas por más de 3-4 motores. A los pocos días, tanto el .jar como el .exe comienzan a ser mucho más reconocidos. Las actualizaciones tampoco Actualizar, actualizar y actualizar, es la primera ley de la seguridad. Pero en esto tampoco estamos de suerte. Los usuarios de Windows podían actualizar desde el mismo 14 de febrero de forma automática… pero no todos lo hicieron, evidentemente. - Los usuarios de Red Hat tenían paquetes rpm actualizados el día 15 de febrero. - Los de Ubuntu el día 24 de febrero. - Los de Debian, podían descargar los paquetes .deb de openjdk el día 28 de febrero. - HP-UX podían actualizar con paquetes el 28 de marzo. Los usuarios de Apple tuvieron que esperar al 5 de abril, sin ninguna posibilidad de actualizar. Se debe a que implementación para OS X le corresponde a Apple y no a Oracle. Esto dejó una ventana de exposición muy amplia que los atacantes han sabido aprovechar. En resumen, deshabilitar Java del navegador (e incluso del sistema completo) puede ser una de las mejores opciones para prevenir que se aprovechen vulnerabilidades a través del navegador. El amor es dar a alguien la capacidad de destruirte y confiar que no lo haga.

11-abr-2012	#9
cejd Ayudante Frecuente Ingreso: noviembre-2011 Ubicación: Córdoba (Argentina) Mensajes: 490 Sexo: País: Signo: Agradecido: +1.823	Apple lanzará herramienta para eliminar el troyano Flashback Apple anunció que lanzará una herramienta para detectar y eliminar el troyano Flashback de los Mac, aunque no detalló una fecha de publicación del software. En el sitio de soporte, Apple aseguró que están conscientes de la infección. “Apple está desarrollando software que detectará y eliminará el malware Flashback. Adicionalmente a la vulnerabilidad de Java, el malware Flashback se apoya en servidores mantenidos por los autores del malware, que desempeñan muchas de sus funciones críticas. Apple está trabajando con ISPs alrededor del mundo para desactivar la red de control y comando“, declaró la empresa. Esta última medida suena similar a lo que realiza de forma regular Microsoft. Aunque Flashback existe desde el año pasado, últimamente ha sido muy publicitado después de que se revelara que más de medio millón de Macs estaba infectado a nivel mundial – con 13.000 de ellos en Latinoamérica. Existen formas de eliminar el malware a mano, pero requieren cierto conocimiento más técnico. La solución de Apple apuntará seguramente a los usuarios corrientes. Fuente: Fayerwayer El amor es dar a alguien la capacidad de destruirte y confiar que no lo haga.

Los siguientes 8 usuarios agradecen a ironman1 por este mensaje:
Abraxas (06-abr-2012), carmen10 (06-abr-2012), chexus (12-abr-2012), Eloy58 (05-abr-2012), nicol10 (11-abr-2012), tortex (05-abr-2012), Tururojo (06-abr-2012), VJEVans (06-abr-2012)

Usuarios que han agradecido este mensaje de carmen10
ironman1 (06-abr-2012)

06-abr-2012	#3
baduser Banned Ingreso: julio-2009 Ubicación: Mexico City, Capital del Mundo Mensajes: 33.485 Sexo: País: Signo: Agradecido: +70.458

06-abr-2012	#4
VJEVans Erudito Ingreso: mayo-2010 Ubicación: Arequipa (Peru) Mensajes: 6.935 Sexo: País: Signo: Agradecido: +10.322	Wa !! .. gracias por la info compañero ..

06-abr-2012	#5
Tururojo Erudito Ingreso: enero-2012 Ubicación: Barcelona (España) Mensajes: 5.106 Sexo: País: Signo: Agradecido: +10.221	Gracias por la Informacion, desde luego que Java va a tener que ponerse las pilas y reforzar la seguridad de su software, pues con windows le pasa igual, es todabia mas vulnerable.

Usuarios que han agradecido este mensaje de Tururojo
ironman1 (07-abr-2012)

Los siguientes 3 usuarios agradecen a cejd por este mensaje:
baduser (11-abr-2012), Eloy58 (11-abr-2012), Tururojo (11-abr-2012)

Los siguientes 2 usuarios agradecen a baduser por este mensaje:
Eloy58 (11-abr-2012), Tururojo (11-abr-2012)

Los siguientes 3 usuarios agradecen a cejd por este mensaje:
Abraxas (11-abr-2012), carmen10 (12-abr-2012), ironman1 (12-abr-2012)

11-abr-2012	#10
Abraxas Ayudante Frecuente Ingreso: junio-2011 Mensajes: 488 Sexo: País: Signo: Agradecido: +1.238	*A problemas colosales, soluciones colosales ^^* *"Hay una fuerza motriz más poderosa que el vapor, la electricidad y la energía atómica: la voluntad."* *Albert Einstein*

Herramientas
Mostrar Versión Imprimible Enviar por Correo
Desplegado
Mode Lineal Cambiar a Modo Hibrido Cambiar a Modo Hilado

Temas Similares
Tema	Autor	Foro	Respuestas	Último mensaje
CSI: Miami	jchierro	Series TV	2	11-may-2020 00:01
¿Sexo Virtual? Qué es, cómo se practica, etc.	cardavid	Sexualidad	41	25-jun-2017 19:31
.: Clasificacion de Malware - Amenazas Para Nuestra PC - Informacion :.	VJEVans	Seguridad	16	29-jul-2012 21:52
Manual fspassengers en español	Corbet	AudioLibros, Manuales, Libros & Revistas	4	30-mar-2011 23:57
Los Servicios de Windows Professional XP	cbyte	XP/2000/2003/NT	12	28-nov-2010 18:55