jueves, 20 de julio de 2006

Virus en la red - Trojan.PPDropper.B

Cuidado con los ppt....

El día 17 de Julio, Microsoft como todos los meses publicó las vulnerabilidades y los fixes que solucionan las mismas. Ni lentos ni perezosos, los "intrusos" o hackers, como quieran llamarle, han confeccionado un virus que aprovecha una de las vulnerabilidades en menos de tres días. Las empresas de antivirus están trabajando en el troyano para detectarlo y removerlo.
Una vez más queda demostrado que los virus surgen cuando se da a conocer algún problema de seguridad o vulnerabilidad por parte del fabricante y no antes.

El boletín de Ms : Microsoft Security Advisory (922970)


Vulnerability in PowerPoint Could Allow Remote Code Execution
Published: July 17, 2006


Microsoft is investigating new public reports of limited “zero-day” attacks using a vulnerability in Microsoft PowerPoint 2000, Microsoft PowerPoint 2002 and Microsoft PowerPoint 2003. In order for this attack to be carried out, a user must first open a malicious PowerPoint document attached to an e-mail or otherwise provided to them by an attacker. Microsoft will continue to investigate the public reports to help provide additional guidance for customers as necessary.
Microsoft is completing development of a security update for Microsoft PowerPoint that addresses this vulnerability. The security update is now being finalized through testing to ensure quality and application compatibility and is on schedule to be released as part of the August security updates on August 8, 2006, or sooner as warranted.
Microsoft is concerned that new reports of a vulnerability in PowerPoint were not disclosed responsibly, potentially putting computer users at risk. We continue to encourage responsible disclosure of vulnerabilities. We believe the commonly accepted practice of reporting vulnerabilities directly to a vendor serves everyone's best interests. This practice helps to ensure that customers receive comprehensive, high-quality updates for security vulnerabilities without exposure to malicious attackers while the update is being developed.

El virus : Trojan.PPDropper.B

Los correos vienen con el formato siguiente:

De: [nombre]@gmail.comPara:
Undisclosed-Recipient:;
Asunto: [caracteres chinos]Datos adjuntos: [caracteres chinos].ppt

Symantec bautizó este troyano como troyano Trojan.PPDropper.B y al abrirlo viene un archivo con extensión ppt con situaciones cómicas sobre hombres y mujeres. Mientras el ppt está abierto instala un troyano que es el Backdoor.Bifrose.E.
Este troyano es un keylogger que luego envía info a los atacantes.

Qué Hacer:
1) Usuario final u hogareño : Si conoce de tecnología, actualizar el antivirus y el S.O. instalando el Fix correspondiente. En el caso de desconocer, evitar abrir o bajar cualquier ppt que desconozca u cuyo remitente no sea válido y verificar que el antivirus esté instalado y actualizado.
2) Empresas: Filtrar a nivel de gateway el ingreso de ppt y chequear que los antivirus estén actualizados. Armar un plan para realizar un deploy adecuado de la actualización de Ms en las máquinas que crea conveniente. Le recordamos que las GPO son herramientas muy útiles para estos casos.

Esten atentos...
Saludos
Quique

viernes, 7 de julio de 2006

WireShark


Un programa muy ameno para leer el tráfico de red, era nuestro sniffer amigo Ethereal.
Este soft en los últimos años se comportó muy bien en la plataforma MS (siendo un soft original para plataforma Linux).
Ahora este soft no se denomina más Ethereal, si no WIRESHARK. Gerald Combs, el creador de Ethereal network protocol analyzer ha aceptado una alianza con CACE (http://www.cacetech.com/) que es más conocido como el popular WinPcap.
Ahora el proyecto denominado WIRESHARK posee mejoras interesantes e incluso una nueva interfaz.
El sitio oficial es http://www.wireshark.org/ y de allí podrán bajar las versiones para las plataformas Microsoft y Linux.
Estamos hace veinte días probando el producto sobre Ms Windows 2003 y anda muy bien.
Saludos

Quique

A Virtualizar se ha dicho !!!!

Microsoft Virtual Server 2005 R2 ya está disponible como descarga gratuita. Se podrá descargar de la misma manera el próximo Service Pack 1 de Virtual Server 2005 R2. También están disponibles complementos de máquina virtual para Linux (en inglés) y un modelo de soporte técnico adecuado para Linux como sistema operativo ejecutado sobre Virtual Server 2005 R2.
La gestión de recursos ha formado parte del Sistema Operativo, y a lo largo de estos años, los clientes han podido acceder a esta funcionalidad como parte de su plataforma de sistema operativo. Al publicar Microsoft su tecnología hipervisor de Windows en la familia de Servidores Windows "Longhorn", los clientes podrán acceder a los beneficios de la virtualización como funcionalidad integrada dentro del sistema operativo Windows Server. Los cambios de política de precios llevados a cabo facilitan el acceso de los clientes a las ventajas que ofrece la tecnología de virtualización.
Con Windows Server 2003 R2 Enterprise Edition (en inglés), los clientes pueden ejecutar hasta cuatro sistemas operativos virtuales sobre un mismo servidor físico sin cargo. El anuncio de hoy permite a los clientes ejecutar Windows Server 2003 R2 Enterprise Edition con Virtual Server 2005 R2 de forma sencilla y económica, para fines de consolidación de servidores, reubicación de aplicaciones, planificación de la recuperación frente a desastres, y creación de entornos de test y desarrollo de software.

Para descargar virtual server ingresar a
http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=6DBA2278-B022-4F56-AF96-7B95975DB13B

Saludos
Quique
Fuente : Microsoft