La actividad infecciosa de estas creaciones se limita a una sola jornada, ya que después de transcurrido un día pasan a ser inofensivas y a establecerse como inactivas.

Gran parte de culpa de este componente de “fast malware” la tienen sus autores, que modifican los códigos y forman nuevas amenazas para distribuirlas otra vez con el objetivo de que no sean detectadas.

Estos rápidos cambios son los responsables de que en los últimos veinte años se haya pasado a 18 millones de elementos maliciosos a 30 millones.

Luis Corrons, director técnico de PandaLabs comenta:

Es una carrera continua en la que, lamentablemente, nos siguen ganando los hackers. Nos tienen que llegar sus creaciones para poder analizarlas, clasificarlas y combatirlas .

Aquellos fabricantes que trabajan con procesos tradicionales de análisis manual irremediablemente llegan tarde a ofrecer la vacuna a sus clientes, ya que el período de distribución e infección es muy pequeño.

Microsoft ha indicado que las versiones de PowerPoint afectadas son tanto las compatibles con Windows como las que hay disponibles para Mac OS X, aunque por ahora no hay demostración clara de que los hackers hayan encontrado la forma de explotar esas vulnerabilidades.

La amenaza  se ha calificado como crítica, y la idea del hacker sería la de abrir un fichero PowerPoint infectado, que al ser descargado de una web o como adjunto en algún correo electrónico, podría instalar un troyano para que el atacante pudiera acceder remotamente a nuestra máquina.

El FBI se muestra consciente del riesgo que entraña el virus y asegura que está trabajando con el Gobierno, las agencias de inteligencias y el sector privado para mitigar la amenaza, y ha recomendado al público extremar las precauciones en el uso del ordenador, especialmente en la apertura de correos electrónicos no deseados (spam).

El mecanismo de acción de Conficker es bastante discreto, desactiva algunos servicios, como Windows Defender, dejando abierta una puerta trasera y bloqueando nombres de dominio y páginas en las que se le mencione.

Siendo la variante C de Conficker (también conocida como Downadup o Kido) la considerada más peligrosa, ya que puede propagarse a través de dispositivos de almacenamiento extraíbles, y que ya ha infectado a millones de ordenadores y empezará a recibir nuevas órdenes desde hoy día 1 de abril.

De ahí que los expertos recomienden tener instalado el parche MS08-067, que fue lanzado el pasado mes octubre por Microsoft (el cual repara la vulnerabilidad de Windows aprovechada por Conficker para propagarse), contar con antivirus actualizado (además del propio sistema Windows) instalar un cortafuegos, reforzar las contraseñas de usuarios, así como de desactivar la reproducción automática de los dispositivos extraíbles tales como USB, discos duros o MP3.

Asi mismo IBM Internet Security Systems, afirma que un 45% de los ordenadores ya infectados están en Asia, un 31% en Europa, un 14% en Latinoamérica y sólo un 6% en Norteamérica.

La nueva modalidad del virus provocará que los ordenadores infectados se conecten con los servidores de los hackers, pero según los analistas aún no está muy claro cuáles serán las consecuencias de esta infección. Ya que el gusano tiene la capacidad de crear una red de ordenadores zombis (ordenadores conectados a servidores remotos, sin el conocimiento de sus dueños, en los que los hackers pueden operar a su antojo).

Según parece la empresa de seguridad vietnamita BKIS,  ha anunciado que ha encontrado las claves para poder afirmar que el virus puede tener su origen en China. Y que principio los expertos lo situaban en Rusia o Europa como posibles lugares de origen.

La empresa BKIS basa su conclusión, en el análisis realizado al código del virus, que ha puesto de manifiesto que es muy parecido al del Nimda, (un virus que hizo estragos en Internet y el correo electrónico en 2001), y que  ha determinado que Nimda procede de China tras estudiar los propios datos de la firma del virus.

Destacar que el origen de Nimda, nunca se ha verificado y aunque contiene texto que indica que puede haberse originado en China, no hay una evidencia clara. Por lo que si lo descubierto por BKIS es veráz, todavía queda camino por recorrer para poder apuntar al creador del virus.

El 1% de los 67 millones de sistemas que los usuarios han sometido a las pruebas de ActiveScan (una herramienta gratuita de Panda Security), está infectado con aplicaciones programadas para robar la información sensible de las víctimas.

Extrapolando este porcentaje a los 1.000 millones de ordenadores que hay en el mundo, habría unos 10 millones de ordenadores infectados.

Estos troyanos centrados en el robo de identidad, son cada vez más sofisticados y más comunes. El índice de detección de Panda creció un 800% entre mediados de 2008 y finales de año.

El robo de identidad es un gran problema y se estima que en Estados Unidos, nueve millones de residentes se ven afectados por robos de identidad anualmente.

Según Panda, estos troyanos son una seria amenaza, porque además sus víctimas se ven engañadas por los propios troyanos que les piden que instalen software, y son muchos los que creen estar descargando algún códec de vídeo. Y una vez instalado, el troyano envía un mensaje a un comando central y un servidor de control, anunciándose operativo.

Los troyanos pueden realizar capturas de todo lo que aparezca en la pantalla del PC y buscar los números de las tarjetas de crédito, los de la Seguridad Social, resúmenes y en general, cualquier cosa que pueda utilizarse para robar la identidad.

Según asegura Panda Security, los troyanos actuales pueden incluso descargar actualizaciones de software de sus criminales creadores.

El malware, Trojan.PWS.ChromeInject.A, se descarga en la carpeta de Pluging de Mozilla Firefox y se ejecuta cada vez que el usuario abre dicho navegador.

Trojan.PWS.ChromeInject.A, actúa filtrando los datos enviados por el usuario en más de 100 sitios web de compra o banca online.

Entre las webs afectadas encontramos: bankofamerica.com, chase.com, halifax-online.co.uk, wachovia.com, paypal.com y e-gold.com.

Aquellos usuarios infectados con el Trojan.PWS.ChromeInject.A, envían sus credenciales de acceso a una dirección web similar. Tanto el dominio como el servidor de hosting están localizados en Rusia, lo que da indicios del punto de origen de la amenaza.

Según señala BitDefender, los usuarios deben tener en cuenta la peligrosidad que supone exponerse a ser víctimas de robos de información confidencial.

El pasado 23 de noviembre, Microsoft solucionó una vulnerabilidad crítica presente en Windows, sin esperar el próximo parche mensual, programado para el segundo martes de diciembre.

La compañía tuvo buenas razones para acelerar la publicación del parche, debido a que se ha detectado un gusano que aprovecha precisamente tal vulnerabilidad, incluso estando ya solucionada. El riesgo radica en que numerosos usuarios no han instalado la actualización, por lo que sus sistemas siguen siendo vulnerables.

Si no se tienen instaladas todas las actualizaciones de seguridad de Microsoft, podría ser buena idea ponerse manos a la obra, ya que Microsoft anuncia una oleada de exploits además de los más de 50 identificados la semana pasada. Y aunque los ataques iniciales estaban fundamentalmente enfocados a sistemas específicos, parece haber muchos más de carácter general. Microsoft ha indicado que el malware fue detectado como Worm:Win32/Conficker.A.

Conficker.A, lo que hace es abrir un puerto aleatorio (entre el puerto 1024 y 10000) y actúa como un servidor web, que conecta con un ordenador remoto, que a su vez descarga una copia del virus a través de http utilizando el puerto aleatorio abierto por el gusano.

La mayoría de las veces el gusano utiliza la extensión .jpg y después se copia en la carpeta del sistema local como un archivo aleatorio llamado dll.

Lo más interesante de este virus, es que también parchea una API vulnerable en memoria de forma que la máquina no vuelve a ser vulnerable nunca más. El propósito, según los expertos, es asegurarse de que no haya ningún otro tipo de virus que se aproveche de ese PC.

Microsoft afirma que la mayoría de los informes de infecciones proceden de Estados Unidos aunque también se han recibido de otras regiones como Alemania, España, Francia, Italia, Taiwán, Japón, Brasil, China, México, Canadá, Argentina y Chile.

Según la investigación realizada por la empresa PC Tools, la cual ha analizado la información recogida de 500.000 ordenadores en todo el mundo y comparado con los datos del pasado año; todo parece sugerir que una semana antes del día de acción de gracias (que se celebra en Estados Unidos), se producirán un gran número de ataques a la seguridad de nuestros equipos informáticos.

En esas fechas también se celebra el “Black Friday” o viernes negro, un día del año con descuentos especiales en electrónica, lo que hace que muchos hackers y crackers traten de lograr sacar provecho del aumento de ventas por Internet, por lo que estos ataques se ven potenciados.

En el resto del mundo no seguimos esa tradición, por lo que los usuarios estadounidenses parecen más amenazados por dichos ataques, pero como es mejor prevenir que curar, es importante que tengáis vuestros antivirus, cortafuegos y herramientas antispyware a punto, por si acaso el ataque llegara a nuestras cyber fronteras.

Aún así, los expertos en seguridad informática, advierten a los usuarios de Internet ser especialmente vigilantes en el período previo a la Navidad. Y que los usuarios que planea hacer su regalo de compras en la red, deben asegurarse que su software antivirus y cortafuegos estén debidamente actualizados.

Así mismo, que no se abran mensajes de correo electrónico y archivos de personas desconocidas, y que se aseguren que sólo introduzcan información sobre su  tarjeta de crédito o débito, en  páginas web seguras.

El proyecto de creación de un estándar para detectar el malware, cuenta con una lista de más de 40 vendedores de seguridad y de contenido, como parte de la Anti-Malware Testing Standards Organization.

El nuevo sistema propuesto proporcionaría unas guías sobre cómo realizar un test, incluidos los tipos de malware utilizados, el método de análisis, y soporte fiable para generar una conclusión. Las guías también establecen procedimientos para estudiar y desvelar nuevos ejemplos de malware.

Esta organización ha publicado dos documentos estableciendo tanto los principios fundamentales como las mejores prácticas para las pruebas dinámicas.

La mayoría de vendedores y expertos de seguridad, han sugerido el establecimiento de un estándar actualizado para realizar pruebas en los últimos años. Las actuales pruebas de seguridad, como el sistema VB100, han sido muy criticados por sus procedimientos, y son muchos los que opinan que no está preparando para el acceso fiable de ciertos tipos de programas anti-malware.

El grupo espera que estas guías permitan tanto a las empresas de seguridad como a los grupos de pruebas independientes investigar la efectividad del software anti-malware con mayor fiabilidad y neutralidad.

Según diversos foros de seguridad informática, el antivirus AVG ha comenzado a advertir que el archivo user32.dll, que en realidad es un componente de Windows XP, era un virus y más en concreto, el troyano PSW.banker4.APSA.

El archivo user32.dll, es un archivo que permite a los programas para Windows implantar un interfaz gráfico. Al eliminar el archivo, se produce un serio problema. Aunque esto no quita, que este archivo no pueda ser infectado.

El resultado para los usuarios que confiaron en la recomendación de la solución antivirus de AVG, fue diversos errores de funcionamiento, e incluso problemas al intentar reiniciar el equipo.

Afortunadamente, hay varias formas de solucionar el problema. La más sencilla de ellas sería, reiniciar Windows XP en modo seguro y pedir al programa antivirus que reinstale el archivo eliminado.

La propia compañía AVG, presenta en su sitio web, una solución bajo el titular 1574: False positive user32.dll. Es una solución más compleja que implica usar el CD de instalación de Windows XP.

Por otra parte, AVG anuncia una actualización de su base de datos de virus, donde se corregirá el error en cuestión.