lunes, 7 de noviembre de 2011

DUQU : Resolviendo vulnerabilidad de Word

En las últimas semanas, el malware DUQU ha dado que hablar. Si bien no es un gusano que ocasione mayores problemas, se ha detectado que los equipos infectados intentan acceder a Internet para enviar información del equipo en donde esta alojado, además de abrir una puerta trasera. El equipo de Symantec ha detectado que el transporte de este código malicioso es mediante el uso de archivos de Word.
Microsoft hace unos días ha publicado un boletín (el Kb 2639658) en donde podrán encontrar como resolver el problema manualmente por ahora.
Si bien esta solución permite resolver parcialmente el problema, debe hacerse de manera manual bajando el Fix It. Pueden hacerlo desde AQUI.
Por otro lado recomendamos

1) Avisar a los usuarios que si reciben correos de personas desconocidad con archivos de Word, que no han sido solicitados, que no abran los mismos.
2) Mantener los equipos que poseen Ms Office actualizados, con los fixes y parches que recomienda Microsoft.
3) Mantener los S.O actualizados.
4) En los servidores que se ejecute el servicio de Terminal Server y poseen Ms Office, aplicar el artículo técnico KB 2639658.
5) Analizar el Dossier de Symantec y restringir conexiones en el proxy a las direcciones IP que figuran en el mismo.
6) Recomendar a los usuarios un manejo discrecional en el correo con archivos de Word, que para ello utilicen un file server o una Intrantet.
7) Mantener los antivirus actualizados.
8) Aplicar la KB 2639658 en la plataforma.
9) Revisar artículo anterior publicado en este blog sobre DUQU (Leer Aquí).

Seguramente subamos más información de este malware cuando esté disponible.
Hasta la próxima.

2 comentarios:

Diego Ivan Gonazales Orihuela dijo...

El virus Duqu aprovecha una vulnerabilidad desconocida de Windows para su expansión. Duqu fue detectado hace un mes y despertó las alertas porque su arquitectura es refinada y podría ser una herramienta para preparar una segunda versión del Stuxnet gracias a los datos que Duqu haya obtenido de las máquinas infectadas.

Los autores de Duqu escogen a sus víctimas a través del correo. Si se abre un documento de Word, éste infecta el ordenador y el atacante obtiene el control de la máquina. A través de ella puede contagiar el sistema informático de la corporación atacada y robar datos.

Diego Ivan Gonazales Orihuela dijo...

El virus Duqu aprovecha una vulnerabilidad desconocida de Windows para su expansión. Duqu fue detectado el pasado mes y despertó las alertas porque su arquitectura es refinada y podría ser una herramienta para preparar una segunda versión del Stuxnet gracias a los datos que Duqu haya obtenido de las máquinas infectadas.


Los autores de Duqu escogen a sus víctimas a través del correo. Si se abre un documento de Word, éste infecta el ordenador y el atacante obtiene el control de la máquina. A través de ella puede contagiar el sistema informático de la corporación atacada y robar datos.