viernes, 27 de marzo de 2009

Alerta de virus para el primero de abril

Estimados
Trend Micro ha enviado un reporte en base a los estudios realizados en su laboratorio sobre una variante del Conficker. La variante del conocido Conficker llamada WORM_DOWNAD.KK generará nuevos ataques el próximo 1 de Abril. Esta nueva variante es mucho más poderosa que su antecesor generado en Diciembre-Enero pasados.
Algunas de las nuevas características de esta amenaza son:

1)Acceso a nuevas URL, aproximadamente 500 solicitudes al mismo tiempo (cerca de 10 veces más que su antecesor). Dichos sitios los selecciona aleatoriamente de una lista de 500,000.
2)Deshabilita el inicio en modo a prueba de fallos (Safe Boot) de la máquina infectada.
3)Termina todos los procesos que contengan alguna de las siguientes cadenas:


autoruns avenger confick downad filemon gmer hotfix kb890 kb958
kido klwk mbsamrtmrstub ms08-06 procezp procmon regmon scct_
sysclean tcpview unlocker wireshark

Verificar su infraestructura, manteniendo la plataforma actualizada, firewalls activos y restricción de permisos de administrador local sobre los puestos locales.
Saludos

Enrique

Capacitación en Mexico


Estimados amigos
Hoy finalizamos la capacitación de Seguridad de la Información y Auditoria Informática. Desde ya agradezco lo bien que me hicieron pasar y espero que se mantenga el contacto entre todos.

Recuerden las recomendaciones de Seguridad, sobre las formas de encarar un proyecto y de como encara una auditoría.
Los invito a compartir contenidos de seguridad en este blog cuando quieran.
Mucha suerte!!!

Abrazo

Enrique Dutra

miércoles, 11 de marzo de 2009

A LA CAZA DEL CONFICKER

Estimados
Para saber que hace y como se comporta el malware, podemos ir a la biblioteca de Mcafee y allí encontraremos un detalle pormenorizado de las acciones del Conficker.
Ahora, dependemos de la actualización y del antivirus para evitar su despligue. ¿Podemos evitarlo con otras medidas? ¿Vimos el malware en acción?
Nosotros, ya lo tenemos aislado en una máquina virtual y estamos analizando su comportamiento. Con la actualización del Sistema Operativo logramos frenar su despliegue, pero el "software malicioso" necesita moverse y para ello necesita permisos.
¿Quienes se suman a verificar que permisos requiere, donde se mete, que medidas podemos tomar a parte de las conocidas? TE ESCUCHAMOS!!!!

Saber si tenemos un archivo infectado con el malware:
Si quieren saber si un archivo está infectado, para hacer pruebas, pueden subirlo a http://www.virustotal.com/es/. Allí les dirá que tipo de infección poseen en el mismo.


Nota: Malware es un termino utilizado para definir Software Malicioso (Malicius Software). La mayoría de los fabricantes de productos antivirus lo han denominado "gusano" por el comportamiento que posee.

Aqui seguiremos detallando proximamente novedades sobre este codigo malicioso que tiene preocupados a todos los administradores de IT.
A seguir investigando....

Actualizaciones de Seguridad de Marzo

Estimados
Notificamos de las actualizaciones cuando existen algunas que son importantes de bajar e instalar sobre la plataforma que administran.
Esta vez, se han publicado unas actualizaciones que son de importancia, por lo cual las destacamos en este boletín.

Actualización CRITICA
MS09-006: Actualización del kernel de Microsoft Windows que soluciona tres vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Al implementar esta actualización el S.O. va a requerir su reinicio.

Actualización IMPORTANTE
MS09-007: Actualización destinada a corregir una vulnerabilidad en Secure Channel (Schannel) de Windows que podría permitir a un atacante remoto la falsificación de certificados. Este tema lo vamos a tratar en próximas publicaciones, por que han surgido rumores o documentos sobre la vulnerabilidad del SSL.

MS09-008: Actualización para DNS y WINS que resuelve cuatro vulnerabilidades que podrían ser aprovechadas por un atacante remoto para falsificar respuestas y redirigir tráfico de Internet. Hay maneras de evitarlas por configuración, pero está actualización refuerza el nivel de seguridad de la plataforma. Este boletín reemplaza ya algunos existentes, por favor verificar los links y leer atentamente las recomendaciones.

Recuerden de verificar las actualizaciones mensuales, teniendo en cuenta, que el segundo martes de cada mes se publican las actualizaciones y los boletines.
Las actualizaciones permiten evitar problemas de seguridad, una vez públicos, deben tenerse en cuenta, por que los códigos maliciosos y los intrusos se aprovechan de la falta de procedimientos o actualizaciones para provocar fallos de seguridad en una plataforma. La prevención es el mejor remedio!!

Saludos

Quique

Recomiendo leer:
+ Guía paso a paso para empezar a trabajar con WSUS
+ Como funciona WSUS. Escenarios de WSUS.
+ Usar MBSA para ver el estado de la plataforma.