williamortega.com

Ayer se conoció que el 27 de abril inicia el registro para el primer examén beta de Windows 7:

Disponibilidad

Inicio de registro: Abril 27, 2009

Periodo Beta: Mayo 5, 2009 – Mayo 18, 2009

El codigo promocional es: WIN7J

Se supone que el tiempo para el examen sera de cuatro horas

Primero hay que decir que lo más recomendable es tener siempre software original. Pero hay casos en que aún teniendo el Office original, este se reporta en la barra de tareas como si no lo fuera.

En estos casos hay que recurrir a la fuerza bruta y eliminar los siguientes archivos en c:\windows\system32:

1. wgalogon.dll
2. wgatray.exe
3. ogaaddin.dll
4. ogacheckcontrol.dll
5. ogaverify

Finalmente configurar el sistema para que nos permita elegir siempre las actualizaciones antes de descargarlas y no volver a descargar la actualizacion correspondiente a la “validacion de software original de microsoft”.

Bueno, según parece Conficker no ha logrado tumbar la internet todavía, aunque tecnicamente es mas correcto decir que aún no se ha despertado.

Pero para despertarnos todos nosotros quiero compartir este video de 12 minutos de la CBS en la cual describen el “modus operandi” de Conficker y de otros gusanos similares, ademas de presentarnos un caso de la vida real en el cual una cliente de un banco fue victima de un robo en linea.

Saquen sus diccionarios.

Watch CBS Videos Online

Todas las fuerzas que componen la coalicion en contra del gusano Conficker, asi como los administradores de redes de todas las organizaciones, llegaron al estado de máxima alerta desde hace cinco minutos al cumplirse el 1 de abril, el plazo de activación del código dentro del gusano Conficker C.

A pesar de ser la cuarta variante de esta amenaza informática y de que la mayoria de casas de seguridad han incluido metodos de detección en sus productos, estamos frente a una de las amenazas mas “inteligentes” de los últimos tiempos. La capacidad que ha demostrado este gusano de hacerse mas peligroso desde su primera aparición, deja ver que los autores de este gusano se la estan tomando en serio a la hora de ingeniarse la manera de programar este malware para hacerlo cada vez más dificil de detener y de cambiar su código para evadir los metodos de deteccion y desinfeccion. Las primeras versiones tenian una lista de 250 dominios de Internet desde los cuales estarian atentos a recibir instrucciones. En esta última version son 50.000 dominios desde los cuales pueden recibir instrucciones.

Esta última version detectada el 4 de marzo de 2009 entrara en modo de “escucha” este 1 de abril y lo que se espera que suceda es incierto: es posible que el codigo se actualice y se haga mas nocivo o mas dificil de desinfectar, o incluso es posible que no haga nada hasta una fecha posterior que solo los autores conozcan.

Es importante aclarar que segun datos de ESET NOD32, esta variante tiene menos del 2% de detecciones y que a pesar de esto no es menos peligrosa que las variantes anteriores, que estan mucho mas difundidas y que llevan mucho mas tiempo en estado de “escucha” esperando instrucciones para mutar hacia una version mas “fuerte” o iniciar su ataque.

Como actua:

Cuando los gusanos comiencen a recibir instrucciones desde uno de los dominios afectados, todas las maquinas infectadas pueden ser utilizadas para ejecutar la misma orden y estan en capacidad de atacar cualquier objetivo, como por ejemplo “tumbar” un sitio web de alguna empresa u organizacion estatal, o posiblemente ser usada como plataforma para la difusion de spam o incluso el hurto de informacion personal o bancaria. El siguiente esquema aparece en el sitio web de microsoft para intentar explicar graficamente el funcionamiento:

Sintomas de infección:

Paradojicamente, cuando un sistema esta infectado, el gusano impedira el acceso a los sitios web de los proveedores de seguridad (antivirus) o el sitio de actualizaciones de seguridad del sistema operativo lo cual complicara la tarea de desinfeccion. En este caso la primera accion a tomar sera la deconexion del equipo de la red y la desinfeccion con herramientas descargadas desde un equipo limpio.

Metodos de proteccion:

• Tener al dia todos los sitemas de la red con los últimos parches de seguridad y particularmente el referido en el boletin de seguridad MS08-067 clasificado como critico. Si no desea leer el boletin de seguridad , puede descargar directamente esta actualización y ejecutarla en su equipo.
• Tener una solucion antivirus instalada y actualizada.
• Deshabilitar la ejecución automática de dispositivos USB (para evitar propagacion a traves del autorun.inf).
• Implementar politicas para usar contraseñas fuertes en los recursos compartidos y en la autenticacion de los usuarios.

Finalmente, hay que recordar que aunque los medios le hayan otorgado una atencion desproporcionada a esta noticia por ser esta la fecha del dia de los inocentes en Estados Unidos, es nuestro deber asegurar nuestros sistemas permanentemente y estar atentos al desarrollo de esta amenaza para evitar daños en nuestros equipos y en el ecosistema entero.

Información adicional:

• http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx
• http://blogs.eset-la.com/laboratorio/2009/03/28/1-abril-comienza-conficker/
• http://www.microsoft.com/protect/computer/viruses/worms/conficker.mspx
• http://www.symantec.com/business/security_response/writeup.jsp?docid=2
• 009-011316-0247-99
• http://www.ca.com/securityadvisor/virusinfo/virus.aspx?id=77976

Herramientas para desinfeccion y/o proteccion:

• Herramienta de desinfeccion de ESET Nod32
• Actualizacion de seguridad de Microsoft (kb958644)