Archive for the ‘Antivirus’ Category

h1

Actualización de McAfee bloquea millones de ordenadores

15/05/2010

Desde las 16:00h del miércoles 21 de abril de 2010, el fabricante del software de antivirus (Mcafee) ha publicado una actualización del software que provoca de forma aleatoria el reinicio del ordenador, al confundir un módulo del sistema operativo Windows por un virus, de esta forma, el equipo informa cada cierto tiempo que debe reiniciarse debido a un error grave del sistema.

La actualización problemática, identificado como el DAT 5958, detectó que el archivo svchost.exe en Win XP SP3 estaba infectado con nuevas variantes de la familia Wecorl de malware. Según Microsoft, svchost.exe es un archivo vital de Windows a cargo de la carga de servicios que van desde archivos DLL.Los daños colaterales de este error son enormes, y ya muchos usuarios han avisado de la pérdida y reinicio en el servicio de red.

McAfee publicó una actualización corregida, DAT 5959, horas después de la definición falsa. Sin embargo, la solución tiene que ser desplegado a los sistemas afectados de forma manual en modo seguro, una pesadilla para el personal de TI en las grandes empresas con miles de ordenadores. Además, si el archivo svchost.exe se ha eliminado o puesto en cuarentena, se debe restaurar a partir de ubicaciones de copia de seguridad. El procedimiento se describe con más detalle en un artículo de la base de conocimientos McAfee relacionados con este incidente.
Para solucionar este problema, si es que has sido afectado, hay dos alternativas. La primera es descargar el archivo  Extra.dat y hacerlo correr, lo que arreglará la situación. La segunda opción es hacer un “roll back” del DAT, es decir, volver a la versión de ayer del antivirus (5957).

Al ser svchost un proceso fundamental del sistema operativo muchas de sus funciones se ven dañadas. Entre ellas la restauración del sistema, la administración de discos, el inicio de servicios de red, entre muchos otros.

Svchost.exe examina la parte de servicios del Registro para elaborar una lista de los servicios que hay que cargar. Es posible ejecutar varias instancias de Svchost.exe al mismo tiempo. Cada sesión de Svchost.exe puede contener una agrupación de servicios. Por tanto, se pueden ejecutar distintos servicios dependiendo de cómo y dónde se inicie Svchost.exe. Esta agrupación de servicios permite un mejor control y una depuración más sencilla.

Si tienes Windows XP Professional y quieres obtener más informacion sobre los servicios que el proceso SVCHOST está ejecutando en estos momentos haz esto:

  1. Haga clic en el boton Inicio en la barra de tareas de Windows y, a continuación, en Ejecutar.
  2. En el cuadro de diálogo Abrir, escriba CMD y, a continuación, presione la tecla Enter.
  3. Ahora en la ventana de la consola de comandos, escriba:tasklist /svc /fi imagename eq svchost.exe“… y a continuación, presione Enter.

En este caso se mostrarán sólo los procesos SVCHOST.exe y sus servicios asociados.

Como podemos observar, SVCHOST.exe puede aparecer varias veces cargado en el sistema, en mi casoa parece en la lista de procesos 6 veces, ocupando algo así como 45MB de memoria, este aparece cargando los servicios DcomLaunch, TermService, RpcSs,AudioSrv, Browser, CryptSvc, Dhcp, dmserver, ERSvc, EventSystem, FastUserSwitchingCompatibility, helpsvc, HidServ, lanmanserver, lanmanworkstation, Netman, Nla, rasAuto, RasMan, Schedule, seclogon, SENS, SharedAccess, ShellHWDetection, Tapisrvc, Themes, trkWks, winmgmt, wscsvc, wuauserv, WZCSVC, LmHosts, SSDPSRV, upnphost, WebClient, stisvc y HTTPFilter.

Fuentes: http://www.lavanguardia.com/ y http://support.microsoft.com/

Anuncios
h1

Protege tu pendrive con Panda USB Vaccine

07/12/2009

Si quieres prevenir infecciones en tu memoria USB, dispones de una aplicación de Panda Software que vacuna tanto tu ordenador como tu dispositivo USB contra los ataques de malware y programas auto-ejecutables.

Cada vez son más los ejemplares de malware, entre ellos el peligroso gusano Conficker, que se propagan mediante la infección de dispositivos y unidades extraíbles como llaves de memoria, reproductores MP3, cámaras de fotos, etc. Para ello, estos códigos maliciosos realizan una modificación del fichero Autorun, presente en esas unidades.

Panda USB Vaccine es una solución gratuita antimalware diseñada para proteger contra este creciente peligro. Para ello, permite llevar a cabo una doble protección preventiva, o vacuna, tanto del mismo PC para deshabilitar la funcionalidad AutoRun, como de unidades y llaves USB individuales:

Vacuna de equipos: Desactiva el mecanismo de autoejecución de aplicaciones desde dispositivos USB y CD/DVD. Evita que el malware u otros u otros programas se ejecuten automáticamente desde estos dispositivos. Esto lo podemos hacer nosotros mismos sin necesidad de ningún programa, lo veremos en el siguiente post.

Vacuna de dispositivos USB: Elimina unos de los principales mecanismos de propagación de malware, la infección del fichero autorun.inf.  Mediante la vacuna se crea un archivo llamado AUTORUN.INF que no se puede eliminar ni modificar, lo que asegura que ningún malware puede cambiar el comportamiento de la llave USB cada vez que lo conectas a un equipo.

Mucho cuidado con esto porque este proceso es irreversible y algunas aplicaciones podrían dejar de funcionar. Supongamos que nuestro dispositivo usb dispone un programa (.exe) para poner la contraseña cada vez que lo insertamos y a su vez precisa de un archivo autorun.inf para su autoejecución. La vacunación de dispositivos usb nos renombrará nuestro archivo autorun.inf a autorun_inf creando la vacuna un autorun.inf imborrable (ni KillBox, ni FileASSASSIN, ni Unlocker lo pueden borrar o renombrar). La única solución para poder deshacernos de él sería arrancando con un sistema GNU/Linux o formateando el dispositivo.

El archivo autorun.inf es el encargado de llamar al ejecutable (el .exe, .com, .bat, .pif que puede ser código malicioso) mediante la instrucción Open.

Podemos utilizar otras alternativas para modificar la ejecución automática de medios extraíbles, como gpedit.msc, la edición manual del Registro de Windows, o el parche de Microsoft KB971029.

Para más información y descarga sobre Panda USB Vaccine http://www.pandasecurity.com/spain/homeusers/downloads/usbvaccine/
Para más información sobre el archivo autorun.inf consultar http://es.wikipedia.org/wiki/Autorun

h1

Panda Cloud Antivirus 2009

06/12/2009

Panda Cloud Antivirus emplea una filosofía de protección distinta. Su capacidad para detectar y eliminar virus, troyanos, spyware y otros peligros se basa exclusivamente en la tecnología de Inteligencia Colectiva, una red de servidores que facilita la recolección de muestras y el despliegue de firmas.

Una peculiaridad de Panda Cloud Antivirus es que no requiere actualizaciones: cada vez que analiza un fichero, se conecta a la red de servidores de Panda para comprobar sobre la marcha si coincide con las firmas disponibles. La ventaja de este modelo es que Panda Cloud Antivirus puede detectar nuevos peligros y enviar muestras de malware en tiempos muy reducidos. Por otro lado, necesitarás estar siempre conectado a la red.

El consumo de memoria de Panda Cloud Antivirus, alrededor de 150 MB, no es tan bajo como se pudiera esperar, pero los análisis son rápidos y discretos.

Sistema operativo: WinXP/Vista/7

Descarga en la web del autor: http://www.cloudantivirus.com/es/