LiveZilla Live Help

Por increíble que parezca la guerra entre EE.UU e Iran ha comenzado a raíz de virus Stuxnet, pero no la guerra como se la entiende habitualmente con su cortejo de bombas y muertos, con sangre y lágrimas, sino a golpe de virus informáticos. La enfermedad se extiende entonces sin dejar cadáveres humanos. Mahmud Alyaee, secretario general de los servidores informáticos industriales de Irán, incluidos los que sirven para el control de las instalaciones nucleares, confirmó el 25 de septiembre que 30.000 computadoras instaladas en complejos industriales fueron infectadas con el virus Stuxnet al punto de volverlas inoperantes. El 16 de junio la compañía de seguridad informática VirusBlokAda descubrió un ejemplar de código malicioso bastante particular debido a las siguientes características:

(1)   La falla reside en la posibilidad de ejecución de código con el solo hecho de ver iconos de “acceso directo”image016 por lo que el usuario, con solo abrir una carpeta que contenga accesos directos (una compartida en la red, una memoria USB o hasta una página web), puede ejecutar sin darse cuenta el código malicioso.

(2)   Malware firmado digitalmente: Existen dos variantes del malware que usan certificados digitales de empresas legítimas (Realtek SemiconductorJMicron Technology). Lo anterior podría hacer pensar al usuario, erróneamente, que el malware es software válido perteneciente a alguna de las dos empresas mencionadas.

(3)   Afecta casi todas las versiones de Windows: Según el descripción publicada por CVE, la vulnerabilidad afecta Windows XP SP3, Server 2003 SP2, Vista SP1 y SP2, Server 2008 SP2 y R2, y Windows 7. Desde luego en la lista no se encuentra Windows XP SP2 debido a que el soporte fue descontinuado por Microsoft.

(4)   Ojo, en el listado de sistemas vulnerables no se incluye Windows 2000 ni Windows XP SP2. No es porque sean seguros, sino porque se terminó el soporte y simplemente no van a liberar los respectivos parches.

(5)   Como consecuencia de lo anterior, conocidas familias de malware han aparecido empleando como vector de ataque la vulnerabilidad utilizada inicialmente por Stuxnet. Ejemplos de esto son el Zombie Infection Pack, el virus polimórfico Sality hasta el famoso troyano bancario Zeus.

Es de esta forma que un código malicioso diseñado con un objetivo y un alcance limitado se convierte en una amenaza de talla mundial del estilo Conficker. Si no quiere ser infectado por todas las variantes de malware que existen y muy seguramente aparecerán en un  futuro, que se aprovechan de esta vulnerabilidad de Windows, instale el parche que Microsoft publicó: MS10-046.

Microsoft recomienda actualizar el parche crítico y desactivar los accesos directos y auto ejecución http://support.microsoft.com/kb/2286198

Trend Micro detecta el virus con los siguientes nombres WORM_STUXNET.ARTKT_STUXNET.ALNK_STUXNET.A,WORM_STUXNET.SMTROJ_STUXNET.DX

Stuxnet fue fabricado aparentemente para atacar el sistema de supervisión, control y adquisición de datos de Siemens llamado SCADA, un sistema que muchas empresas utilizan para manejar reservas de agua, plantas de energía, perforaciones petroleras y otros servicios industriales. Stuxnet que tuvo sus inicios en India, Indonesia y Pakistán, Irán está en Bolivia y para evitar ser infectados debemos contar con nuestros sistemas operativos actualizados.

Fuentes:

http://america.infobae.com/notas/10264-La-guerra-contra-Iran-ha-comenzado

http://www.microsoft.com/technet/security/bulletin/MS10-046.mspx

http://blogs.technet.com/b/mmpc/archive/2010/07/16/the-stuxnet-sting.aspx

http://blog.trendmicro.com/usb-worm-exploits-windows-shortcut-vulnerability/

http://www.fayerwayer.com/2010/09/virus-stuxnet-muta-y-arrasa-en-iran/

http://www.bbc.co.uk/mundo/noticias/2010/09/100929_1442_stuxnet_virus_gusano_china_dc.shtml

Publicado en Blog

image018Cyveillance es una compañía consultora ha publicado un informe en el que se concluye algo que los porcentajes de detección de los antivirus son bajos. Cyveillance afirma que muchas marcas de AV detectan por firmas el 19% del malware "fresco" mientras que pasado un mes, sube al 61.7%. Trend Micro entre otras marcas de AV, sostiene que este estudio está incompleto y que se presta a malas interpretaciones.

En agosto del presente año, Cyveillance recopiló 1.708 binarios reconocidos como malware por al menos tres antivirus de los 13 contemplados en el estudio. Estos binarios eran archivos recolectados en los tres últimos días por la empresa con sus propios métodos. Analizó los archivos cada 6 horas durante 30 días con los 13 motores. La media de detección iba desde el 19% del día 1, hasta el 61.7% el día 30.

Las siguientes puntualizaciones han sido realizada en base a nuestra experiencia con el objetivo de visualizar hasta qué punto es cierto lo afirmado por Cyveillance.

(1)   El hecho de que tres motores detecten un binario no es definitivo para concluir que deba ser reconocido por las demás firmas de AV..

(2)   Aunque el informe no especifica explícitamente que se haya realizado el estudio de esta forma, todo apunta a que así se ha hecho

(3)   Hace más de 1 año que casi todas las marcas de AV usan nuevas tecnologías. Trend Micro es pionero en hablar de tecnología “in the cloud”, es decir tecnología  basada en heurística, reputación de archivos, de URLs, de dominios que están reforzando a la detección de malware basada en firmas.

(4)   No es posible hoy en día evaluar la capacidad de un producto sólo por una de sus funciones. Si se quiere evaluar la calidad y cantidad de firmas, se debe ser consciente de que eso es sólo una parte del producto.

(5)   ¿Son 1.708 binarios suficientes? No sabemos la naturaleza de los binarios. Por ejemplo, sabemos que las marcas de AV tienen serios problemas para detectar los "rogueware" (falsos antivirus). Pueden pasar semanas hasta que algún motor los detecta por firmas.

(6)   Un laboratorio de antivirus puede recibir cada día más de mil nuevas muestras de malware para las que no disponen de firma de detección específica. Con todas sus ventajas e inconvenientes, solo las muestras muy relevantes o nuevas pasan a ser analizadas manualmente. Tras 30 días, la media suba del 19 a algo más del 61% de detección por firmas, es incluso un buen trabajo.

(7)   Gran parte de contar con una buena protección es producto de tener políticas de seguridad proactivas (parchado automático, revisión de logs, campañas para crear conciencia en los usuarios finales, análisis de navegación, etc)

(8)   Es cierto que el usuario medio suele ser víctima del marketing de las casas antivirus, y creen que la suite les salvará de todo mal. Slogans como "Protección total" o "Blindaje del sistema" calan en el usuario que concluye que realmente es lo único que necesita.

(9)   Estadísticas como la de Cyveillance, puede ayudar a desterrar esa idea aunque, por otro lado, también pueden llegar a polarizan la opinión: "¿A pesar del dinero invertido en la solución antimalware, no estoy protegido por completo?" o "Las soluciones antimalware no sirven para nada". Ninguna de las dos posiciones es adecuada.

(10) Las soluciones antivirus son imprescindibles, pero es necesario combinarlas con un soporte tanto local como desde fabrica.

Fuente:

http://www.cyveillance.com/web/forms/request_thanks.asp?fileName=/web/docs/WP_MalwareDetectionRates.pdf

http://seguinfo.wordpress.com/category/informes

Publicado en Blog

Para todos aquellos dudaban de la ingeniería social como un método efectivo les presento a dos nuevas familias de malware que combina la ingeniería social con técnicas ya conocidas tales como worms, troyanos entre otros.

Publicado en Blog

Nuestras Oficinas

  • Oficinas en Bolivia:
    Santa Cruz:
    Calle Padre Pérez Nº 115
    Telf. : + 591 + 3 - 3576565
    La Paz:
    Calle Jorge Saenz Nº 1005, Miraflores
    Telf. : + 591 + 2 - 2112861

    Oficinas en Perú:
    Lima:
    Calle Chinchón Nº 863, San Isidro
    Telf. : +511+ 01 - 222 - 1837
    Cel. : + 511+ 01 - 991 - 264436