Archive for the ‘Seguridad’ Category

h1

OpenDNS

10/12/2011

· 208.67.222.222 (resolver1.opendns.com)
· 208.67.220.220 (resolver2.opendns.com)

OpenDNS es un servidor DNS gratuito y abierto. Ofrece resolución de DNS a particulares y empresas como una alternativa al servidor de DNS de su ISP.

Sus servidores localizados en lugares estratégicos mantienen una gran caché de nombres de dominios, permiten que las consultas de DNS sean generalmente más rápidas.

Otras características:

· Filtro de contenidos web
· Filtro de phishing
· Corrección de errores ortográficos.
· Etc…

¿Como utilizar el servicio gratuito de OpenDNS ?

El primer paso que debemos llevar acabo es registrarnos para utilizar el servicio gratuito:

https://store.opendns.com/get/home-free

También existen modalidades pensadas en mayor medida para empresas, como DNS Premium y VIP (de pago).

Una vez nos hemos registrado podemos entrar con nuestro usuario y contraseña para administrar nuestra red de OpenDNS mediante el Panel de control.

Una utilidad especialmente interesante consiste en utilizar OpenDNS para filtrar  contenidos en nuestra red. Es decir, podemos bloquear el acceso a páginas web de contenido sexual, contenido violento, chats, etc…

El filtraje web se puede llevar acabo mediante la utilización de las categorias (blacklists) que nos brinda el servicio o manualmente añadiendo webs.

Esto podemos hacerlo desde el panel de control de OpenDNS:

1. Cambiar las DNS de nuestro Router por las siguientes: 208.67.222.222, 208.67.220.220

2. Entrar en nuestra cuenta y añadir la red (ip pública del router) que queremos administrar.

Si la ip de nuestro router es dinámica, es decir, cambia cada cierto tiempo (al reiniciar el router por ejemplo) podemos utilizar el programa OpenDNS Updater para actualizar automáticamente el cambio de ip de nuestro router en la configuración de OpenDNS.

3. Administrar nuestra red filtrando contenidos, creando una política de restricción, bloqueando el acceso a determinados sitios web.

Filtro OpenDNS

Filtro OpenDNS

Software IP Dinámica: OpenDNS Updater
Fuente: OpenDNS

Anuncios
h1

Virus Amvo (Archivo ocultos)

16/11/2011

El virus amvo y sus variantes tienen como objetivo principal bloquearnos los archivos ocultos de tal forma que no podamos verlos. Se propaga a través del archivo autorun.inf de los dispositivos usb.

Para poder visualizar los archivos ocultos iriamos a:  Mi PC –> Herramientas –> Opciones de carpeta –> Ver –> Mostrar todos los archivos y carpetas ocultos

Ver archivos ocultos

Ver archivos ocultos

Después de Aplicar y Aceptar, repetimos el proceso anterior y, si aun asi no pudieramos ver lo archivos ocultos, volviendo a estar marcada la opción ” No mostrar archivos ni carpetas ocultos” quiere decir que estamos infectados con el virus amvo o alguna de sus variantes.

Una forma práctica de ver los todos los archivos (incluidos ocultos y de sistema) des de el cmd –> dir /a

Para ver sólo los archivos ocultos: dir /a:h
Para ver sólo los archivos de sistema: dir /a:s
Para ver los archivos que son ocultos y de sistema (ambas cosas): dir /a:hs

Para cambiar estos atributos podemos utilizar el comando attrib:

attrib [+r | -r]  [+a | -a]  [+s | -s]  [+h | -h]  [+unidad:] [ruta]  [nombre-archivo] [/s  [/d]]

+ Establece el atributo de archivo de sólo lectura.
Borra un atributo.
r Atributo de sólo lectura del archivo.
a Atributo de archivo de almacenamiento.
s Atributo de archivo de sistema.
h Atributo de archivo oculto.
[+unidad:] [ruta]  [nombre-archivo] Especifica el archivo o archivos que serán afectados por attrib
/s Procesa archivos que coinciden en la carpeta actual.
/d Procesa carpetas.

Existe una herramienta (VBScript) muy útil para la eliminación del virus amvo sin necesidad de realizar pasos intermedios.

Herramienta eliminación Amvo: Fix_Amvo
Autor de la herramienta: MyGeekSide

h1

Conficker

12/11/2011

Conficker es un gusano informático que puede infectar su equipo y propagarse a otros equipos a través de una red de forma automática, sin interacción humana.

Este gusano es conocido como Conficker (Microsoft, Panda, Eset, McAfee), Downadup (Symantec),  Kido (Kaspersky), entre otros.

Existen, por el momento, 5 variantes del gusano:

  • Win32/Conficker.A (21/11/2008).
  • Win32/Conficker.B (29/12/2008).
  • Win32/Conficker.C (20/2/2009).
  • Win32/Conficker.D (4/3/2009).
  • Win32/Conficker.E (8/4/2009).

Comparación entre versiones:

Versiones Conficker
Versiones Conficker

Propagación

Los métodos de propagación utilizados en función de la variante son:

– Explotación de la vulnerabilidad del servicio servidor (solicitudes RPC), solucionada en el boletin de actualización de Microsoft MS08-067

– Recursos compartidos de red

–  Reproducción automática de unidades extraíbles (usb), mediante un archivo autorun.inf  y el archivo K:\RECYCLER\S-5-3-42-28199522…\jwgkvsq.vmx Read the rest of this entry ?

h1

Tidserv / MS10-015

29/10/2011

Descubierto: 18 de septiembre 2008
Actualizado: 18 de septiembre 2008 04:01:39 PM
Tipo: Troyano – Rootkit
Sistemas afectados: Windows 2000, Windows NT, Windows Server 2003, Windows Vista, Windows XP
Alias: Alureon, TDSS y TDL (varias versiones, tales como TDL-3 o TDL-4).

Família Tidserv Symantec (variantes)

· Boot.Tidserv
· Boot.Tidserv.B
· Backdoor.Tidserv
· Backdoor.Tidserv.J
· Backdoor.Tidserv.K
· Backdoor.Tidserv.L
· Backdoor.Tidserv.M
· Backdoor.Tidserv!inf
· Backdoor.Tidserv.H!inf
· Backdoor.Tidserv.I!inf
· W32.Tidserv
· W32.Tidserv.G

Propagación:

Este troyano se distribuye generalmente mediante una serie de medios comunes a muchas otras amenazas conocidas. Es decir, se ha observado que se transmite por blogs falsos equipados con las direcciones URL de videos con mensajes al estilo “debe ser visto” o un blog falso o comentarios en el foro con cebos similares. El troyano también se pueden encontrar en los archivos Torrent falsos y las descargas P2P, los sitios warez Web, y también en el hackeado los sitios Web legítimos y falsos equipados con exploits para varias vulnerabilidades que permite lo que se conoce como un “drive-by download” (Google ha descubierto que una de cada 10 páginas web que han sido analizadas a profundidad, pueden contener los llamados “drive by downloads” que son sitios que instalan spyware o códigos que dan información de los equipos sin percatarse el usuario).

 

Read the rest of this entry ?

h1

Desbloquear Registro de Windows

15/10/2011

Como parte de su rutina, muchos gusanos y troyanos pueden realizar cambios en el registro. Algunos de ellos cambian una o más claves. Si estas claves se cambian, el gusano o troyano es posible que se reproduzca cada vez que ejecuten ciertos archivos.

También puede cambiar un valor de registro para que no se pueda ejecutar el Registro (regedit.exe o regedt32.exe).

Symantec Security Response ha creado una herramienta para restablecer los valores del registro a sus valores predeterminados.

Descargue el archivo UnHookExec.inf y guardarlo en el escritorio de Windows.

Haga clic en el archivo con el botón derecho y seleccione instalar UnHookExec.inf. (Este archivo no muestra ningún aviso o ventanas cuando lo ejecuta.)

h1

Chir.B

02/07/2011

Descripción breve

Chir.B es un gusano que llega en un mensaje de correo electrónico escrito en inglés. El gusano se activa automáticamente con tan sólo visualizar el mensaje a través de la Vista previa de Outlook, o bien al abrirlo.
Para ello, aprovecha una vulnerabilidad de Internet Explorer 5.01 y 5.5 (Exploit/Iframe) que permite la ejecución automática de los ficheros incluidos en los mensajes de correo.
Chir.B es además capaz de aprovechar una segunda vulnerabilidad, conocida como Exploit/MIME, que también provoca la ejecución automática de los ficheros adjuntos a mensajes de correo electrónico.
Chir.B infecta los ficheros que tengan las siguientes extensiones: EXE, SCR, HTM y HTML. Además, Chir.B tiene efectos destructivos, ya que el día 1 de cada mes sobrescribe los primeros 4660 Bytes de los ficheros que tengan alguna de las siguientes extensiones ADC, R.DB, DOC y XLS.
Métodos de propagación:
• Correo electrónico
• Red local

Alias:
•  Symantec: W32.Chir.B@mm
•  Mcafee: W32/Chir.b@MM virus
•  Kaspersky: Email-Worm.Win32.Runouce.b
•  F-Secure: Email-Worm.Win32.Runouce.b
•  Sophos: W32/Chir-B
•  Panda: W32/Chir.B
•  Grisoft: Win32/Chir.B@mm
•  Eset: Win32/Chir.B worm
•  Bitdefender: Win32.Parite.B

Plataformas / Sistemas operativos:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003

Efectos

Chir.B realiza las siguientes acciones:

Infecta ficheros con las siguientes extensiones: EXE, SCR, HTM y HTML.
El día 1 de cada mes sobrescribe los primeros 4660 Bytes de los ficheros que tengan alguna de las siguientes extensiones ADC, R.DB, DOC y XLS.

Read the rest of this entry ?

h1

Actualización de McAfee bloquea millones de ordenadores

15/05/2010

Desde las 16:00h del miércoles 21 de abril de 2010, el fabricante del software de antivirus (Mcafee) ha publicado una actualización del software que provoca de forma aleatoria el reinicio del ordenador, al confundir un módulo del sistema operativo Windows por un virus, de esta forma, el equipo informa cada cierto tiempo que debe reiniciarse debido a un error grave del sistema.

La actualización problemática, identificado como el DAT 5958, detectó que el archivo svchost.exe en Win XP SP3 estaba infectado con nuevas variantes de la familia Wecorl de malware. Según Microsoft, svchost.exe es un archivo vital de Windows a cargo de la carga de servicios que van desde archivos DLL.Los daños colaterales de este error son enormes, y ya muchos usuarios han avisado de la pérdida y reinicio en el servicio de red.

McAfee publicó una actualización corregida, DAT 5959, horas después de la definición falsa. Sin embargo, la solución tiene que ser desplegado a los sistemas afectados de forma manual en modo seguro, una pesadilla para el personal de TI en las grandes empresas con miles de ordenadores. Además, si el archivo svchost.exe se ha eliminado o puesto en cuarentena, se debe restaurar a partir de ubicaciones de copia de seguridad. El procedimiento se describe con más detalle en un artículo de la base de conocimientos McAfee relacionados con este incidente.
Para solucionar este problema, si es que has sido afectado, hay dos alternativas. La primera es descargar el archivo  Extra.dat y hacerlo correr, lo que arreglará la situación. La segunda opción es hacer un “roll back” del DAT, es decir, volver a la versión de ayer del antivirus (5957).

Al ser svchost un proceso fundamental del sistema operativo muchas de sus funciones se ven dañadas. Entre ellas la restauración del sistema, la administración de discos, el inicio de servicios de red, entre muchos otros.

Svchost.exe examina la parte de servicios del Registro para elaborar una lista de los servicios que hay que cargar. Es posible ejecutar varias instancias de Svchost.exe al mismo tiempo. Cada sesión de Svchost.exe puede contener una agrupación de servicios. Por tanto, se pueden ejecutar distintos servicios dependiendo de cómo y dónde se inicie Svchost.exe. Esta agrupación de servicios permite un mejor control y una depuración más sencilla.

Si tienes Windows XP Professional y quieres obtener más informacion sobre los servicios que el proceso SVCHOST está ejecutando en estos momentos haz esto:

  1. Haga clic en el boton Inicio en la barra de tareas de Windows y, a continuación, en Ejecutar.
  2. En el cuadro de diálogo Abrir, escriba CMD y, a continuación, presione la tecla Enter.
  3. Ahora en la ventana de la consola de comandos, escriba:tasklist /svc /fi imagename eq svchost.exe“… y a continuación, presione Enter.

En este caso se mostrarán sólo los procesos SVCHOST.exe y sus servicios asociados.

Como podemos observar, SVCHOST.exe puede aparecer varias veces cargado en el sistema, en mi casoa parece en la lista de procesos 6 veces, ocupando algo así como 45MB de memoria, este aparece cargando los servicios DcomLaunch, TermService, RpcSs,AudioSrv, Browser, CryptSvc, Dhcp, dmserver, ERSvc, EventSystem, FastUserSwitchingCompatibility, helpsvc, HidServ, lanmanserver, lanmanworkstation, Netman, Nla, rasAuto, RasMan, Schedule, seclogon, SENS, SharedAccess, ShellHWDetection, Tapisrvc, Themes, trkWks, winmgmt, wscsvc, wuauserv, WZCSVC, LmHosts, SSDPSRV, upnphost, WebClient, stisvc y HTTPFilter.

Fuentes: http://www.lavanguardia.com/ y http://support.microsoft.com/