WINDOWS XP, APARENTEMENTE MÁS SEGURO QUE WINDOWS 7 Y 8

Árticulo sumamente interesante.

Los ordenadores que utilizan Windows 7 o Windows Vista se vieron más afectados por las infecciones de malware durante el cuarto trimestre de 2013 que Windows XP. Aún así, los expertos aseguran que no significa que el sistema operativo sea más seguro que las versiones más recientes de Windows.

Las cifras aportadas por Microsoft en su último Security Intelligence Report muestran que el número de máquinas con Windows Vista infectadas por malware pasaron del 5,3 por cada mil máquinas al 32,4 del tercer al cuarto trimestre de 2013; en el mismo periodo, los ordenadores con Windows 7 infectados pasaron del 4,9 por mil al 25,9 por mil; en cuanto a Windows XP, las infecciones se incrementaron desde el 9,5 por mil al 24,2; también crecieron el número de máquinas infectadas con Windows 8, desde el 2,1 por mil al 17,3; respecto a Windows 8.1, es la versión de Windows menos infectada con sólo un 0,8 por mil de los ordenadores infectados con malware.

Microsoft ha explicado también en su informe que durante el último trimestre del año pasado se detectó un incremento del malware debido a la influencia del troyano Win32/Rotbrow, y que espera que las cifras vuelvan a la normalidad durante este año.

Para los que creen que las cifran demuestras que Windows XP pueda ser más seguro y estable que sus sucesores, el experto de seguridad Graham Cluley, dice que no es el caso. “La verdad es que, si se configura correctamente, Windows 7 ofrecer mejor seguridad que Windows XP”.

Como ejemplo Cluley pone que las versiones más modernas de Windows pueden aprovecharse de Microsoft EMET (Enhanced Mitigation Experience Toolkit), una utilidad capaz de bloquear el malware que explota las vulnerabilidades de Día Cero.

Al final, debido a la enorme popularidad de Windows XP, Microsoft ha acordado ofrecer un nivel de ciberseguridad básico para el sistema operativo hasta julio de 2015. Este nivel básico de soporte incluye formas de malware para Microsoft Security Essentials, System Center Endpoint Protection, Forefront Client Security, Forefront Endpoint Protection y Windows Intune.

Vía channelbiz

Anuncios

ACCESOS DIRECTOS EN USB

Si me pagaran un peso por cada ocasión en la que he solucionado el problema de accesos directos en las USB, ya hubiera juntado para una comida decente.

 

Lo que se debe de hacer en estos casos es abrir el cmd y seleccionar tu usb.

A continuación teclear lo siguiente attrib -a -s -r -h *.* /s /d

 

Listo, problema resuelto.

Google y su lucha contra el «malware»

El gigante de internet localiza cada día 10.000 nuevas páginas web malintencionadas. Además, actuará contra la publicidad invasiva, la pornografía y los desnudos en Android

Google y su lucha contra el «malware»

Esta es una de las mayores preocupaciones de los internautas. El «malware» móvil es uno de los problemas informáticos que más ha crecido en el segundo trimestre de 2013, tanto en cantidad como en complejidad. Los cibercriminales no solo desarrollan programas cada vez más nocivos para plataformas móviles, sino que también están avanzando en capacidades y comportamiento de los programas. Por ello, es el equivalente a Windows en el mundo de los «smartphones».

Una iniciativa de Google trata de que el hecho de acceder a internet sea más seguro. Bajo esa premisa, cada semana la compañía publicará informes que informarán sobre las páginas web que no son seguras. Y es que poco a poco el popular buscador se ha convertido en un jugador importante en la lucha contra el «malware», a juicio del experto en seguridad Janus R. Nielsen de la empresa de antivirus MySecurityCenter.

Cuando el informe de transparencia de Google fue lanzado en 2006, la compañía pretendía aumentar la transparencia en el motor de búsqueda más grande del mundo. Además de mostrar que países y autoridades estaban aplicando censura en Google, ahora han añadido una sección del informe que muestra cuántos «malware» y sitios «phishing-infectados» se encuentran mediante la tecnología de Google Safe Browsing, lanzado en 2008.

«Esta iniciativa es un paso en la dirección correcta y creo que demuestra que Google reconoce su responsabilidad para mejor informar y proteger a los usuarios normales. Se encuentran cada día 10.000 nuevas páginas web malintencionadas, que hace hincapié en el hecho de que el malware es un problema creciente», explica Nielsen.

Actualmente, el sistema de Google Safe Browsing tiene registrados 1 billón de usuarios y con los nuevos informes se podrá ver cuántas advertencias Google emiten semanalmente (por ejemple la semana del 16 de Junio de 2013 hubo 88 millones). Estas advertencias incluyen «malware», donde los «hackers» pueden obtener acceso a tu PC y «phishing», que es un término para ataques donde los consumidores son engañados para que revele datos sensibles, tales como información de la cuenta.

Google también mostrará rápidamente cómo sitios web que han sido previamente infectado con «malware» se vuelven nocivos otra vez. «Ser consciente de que sólo Safe Browsing funciona en Chrome, Firefox y Safari, así que si utilizas Internet Explorer no obtendrá advertencias de Google pero sí desde el filtro SmartScreen de Microsoft. Sin embargo, uno puede fácilmente utilizar informes de Google para ver tendencias generales».

Un reciente informe de seguridad de programas de Microsoft indica que 25% de los usuarios de PC del mundo no tienen programas de antivirus instalado. «Esto indica que muchas personas todavía necesitan más información sobre las amenazas en línea y la seguridad de internet», explica este experto que hace hincapié en que los sistemas de protección de los navegadores no incluyen cortafuegos, que bloquean el tráfico inoportuno del ordenador antes de que acceda el virus.

En su lucha por un ambiente más «limpio» y obtener más calidad, Google ha introducido una serie de cambios en las políticas de la tienda Google Play para evitar la publicidad invasiva así como la existencia de pornografía y desnudos en su sistema operativo móvil Android, acusado de generar un flujo importante de «malware». En su lucha contra la pornografía, que le ha llevado incluso a evitar la entrada de este tipo de contenidos en su mimado dispostivo Google Glass, el gigante está creando una base de datos de imágenes que representan la explotación infantil.

vía abc

México y Perú: los países de Latinoamérica más afectados por malware de 64 bits

México ocupa el séptimo lugar y Perú el octavo en el ranking mundial de los diez países con más detecciones de códigos maliciosos diseñados para plataformas Windows de 64 bits.
Si se consideran solo países de América Latina, México lidera la posición seguido de Perú y Argentina. Las plataformas de 64 bits no son nuevas. De hecho, en 2005 Microsoft ya ofrecía una edición de Windows XP diseñada para funcionar en procesadores cuyo set de instrucciones es x86-64.
Pese a esto, en aquellos tiempos era una tecnología poco adoptada por los usuarios, por ende, no formaba parte de los blancos importantes de los cibercriminales. Tal situación ha ido cambiando con el tiempo y es cada vez más frecuente observar computadoras que incluyen un sistema operativo de 64 bits de forma predeterminada.
De acuerdo a estadísticas publicadas por Microsoft, en junio de 2010 el 46% de las instalaciones de Windows 7 fueron de 64 bits a nivel global. Asimismo, Gartner predice que para 2014 un 75% de los computadores corporativos utilizarán alguna edición de 64 bits de Windows.
Las cifras citadas anteriormente resultan lógicas considerando que la principal ventaja de esta arquitectura es la posibilidad de utilizar más de 4 GB de RAM, algo que los sistemas de 32 bits no pueden manejar de forma óptima. Asimismo, algunos programas de cifrado (encriptación), edición de videos, entre otros, funcionan mejor en arquitecturas de 64 bits.
Con respecto a la seguridad, las ediciones de 64 bits de Windows incluyen características adicionales de protección como Kernel Patch Protection (PatchGuard) que resguarda el núcleo de Windows de programas o códigos maliciosos que lo intentan parchear. Asimismo, todos los drivers deberán estar digitalmente firmados por una entidad certificadora de confianza para que funcionen. Esta última característica impide que los rootkits de 32 bits afecten a ediciones de Windows de 64 bits.Pese a esto y a que la mayoría de las aplicaciones (también malware) de 32 bits sí funcionan en Windows x64, los cibercriminales están desarrollando más códigos maliciosos diseñados específicamente para Windows x64 como ZeroAccess (Sirefef), Olmarik, y otros. Los motivos son poder evitar tales mecanismos de protección, lograr ocultarse en el sistema para dificultar el proceso de desinfección, entre otros.
México y Perú encabezan detecciones de familias “Win64″ en Latinoamérica
considerando que las plataformas de 64 bits son cada vez más populares a nivel mundial, la cantidad de familias y firmas “Win64” han aumentado acordemente.En esta línea y considerando todo lo que va de 2013, México y Perú son los países de la región que registran las tasas más altas de detecciones de códigos maliciosos para Windows x64. Considerando solamente las naciones de América Latina, México posee el 23,9% de las detecciones de malware x64. Le sigue muy de cerca Perú con el 23,7% y más atrás Argentina con el 9,2%.En lo que atañe a los códigos maliciosos para 64 bits más detectados en México y Perú, destacan las familias Win64/Sirefef y Win64/Conedex.

Sirefef es un troyano de puerta trasera utilizado por atacantes para robar información de la víctima. La amenaza también posibilita que un tercero manipule procesos del equipo, abra puertos, ejecute archivos, etc. Por su parte Conedex también es un troyano que se caracteriza por permitir la realización de acciones maliciosas.

Ransomware “Anti-child Porn Spam Protection 2.0” afecta a Latinoamérica

Durante esta semana se han estado recibiendo varios informes provenientes de todo Latinoamérica sobre una amenaza del tipo Ransomware que afecto a varios usuarios. La amenaza se autodenomina “Anti-child Porn Spam Protection 2.0” y se caracteriza por bloquear el equipo y cifrar la información dentro del mismo para luego pedir un rescate de dinero a cambio de la contraseña que descifra los archivos. La amenaza es detectada desde un principio como Win32/FileCoder.NAC o como Win32/FileCoder.NAG (o posibles variantes de ambos) por los productos de ESET.

Una vez que la amenaza ingresa al equipo, el proceso principal de la misma bloquea la pantalla al usuario presentando una falsa pantalla azul de Windows (BSoD) con el siguiente mensaje:

A problem has been detected and Windows has been shut down to prevent damage to your computer.

A process or thread crucial to system operation has unexpectedly exited or been terminated.

If this is the first time you’ve seen this Stop error screen, restart your computer. If this screen appears again, follow these steps:

Check to make sure any new hardware or software is properly installed. If this is a new installation, ask your hardware or software manufacturer for any Windows updates you might need.

If problems continue, disable or remove any newly installed hardware or software. Disable BIOS memory options such as caching or shadowing. If you need to use Safe Mode to remove or disable components, restart your computer, press F8 to select Advanced Startup Options, and then select Safe Mode.

Technical Information:

*** STOP: 0x000000F4 (0x00000003,0x81BAD8D8,0x81BADA3C,0x80944490)

A diferencia de versiones anteriores, la versión actualmente circulando de este malware genera dos claves totalmente aleatorias compuestas por cadenas complejas que rondan entre los 80 a 114 caracteres, que serán luego utilizadas para el proceso de cifrado de los archivos del sistema afectado.

Ejemplo de las claves generadas aleatoriamente:
9DF19AB897351C2A0A0FE18A6A73722EDM66BSAl3jBe2a3K8L275j34525b3&E=4RDP4-9y8Q1j3zDa9G9u3bD04t4dFuEO7M2%4zFT (104 caracteres)

6B1783B4656C5433B430F2CC28070B4E6^1HDq9JEV1+9L0SFr9(6aDu3rF8Cg6X7gC3F#D07LAxFgAD7&9G1%6S4k4YFzEm7^2g4PF*C%9y2T9 (112 caracteres)

Una vez generadas las claves, el malware también genera un ID de infección, el cual será solicitado más adelante para poder reclamar las claves anteriores, previo pago del rescate .

El ID y las claves generadas aleatoriamente y utilizadas para el cifrado de los archivos son enviadas al autor de la amenaza y luego eliminadas del equipo.

Para cifrar el contenido de los archivos, el malware realiza una copia utilizando el algoritmo AES provisto por la herramienta WinRAR, creando de esta forma archivos ejecutables, cifrados, seguros, con un algortimo AES de 128bits. Luego de realizar este proceso, elimina el archivo original del sistema afectado utilizando la herramienta de Sysinternals Sdelete, la cual utiliza el estándar del departamento de defensa de los Estados Unidos (DoD) DOD 5220.22, el cual establece la eliminación segura de datos, siendo imposible recuperar los mismos una vez eliminados.

Una vez finalizado todo el proceso, los archivos cifrados aparecerán dentro del disco con la siguiente estructura de nombre: 
Nombre_de_archivo_original.Ext.(!! to get password email id 1111111 to XXXrasecinfo@gmail.com !!).exe

En donde:

  • 1111111: es el ID de infección, el cual es necesario para reclamar la clave de descifrado.
  • XXXrasecinfol@gmail: la dirección de mail a donde enviar la información para el recupero de los archivos.

Según diversos análisis, hasta el momento no es posible recuperar los archivos cifrados, debido al método de cifrado y tamaño de clave utilizada por el Ransomware.

Después del pago, el delincuente envia un correo con las contraseñas de descifrado y una herramienta de descifrado que se podría utiliza en caso de que las contraseñas no funcionen. Los datos enviados son los siguientes:

Your Locker password: PASSWORD0
1st Decrypt password: PASSWORD1
2st Decrypt password: PASSWORD2
3st Decrypt password: PASSWORD3

Decryption tool (password to the archive: 123)

Download decryption tool pass 123.zip from Sendspace.com
Download it and unpack to any folder. Also program require administrative rules (use administrator account).

Copy paste 1st Decrypt password, 2st Decrypt password and 3st Decrypt passwords in decrypt tool 3 fields.

If you have not stop our software – use decryption tool, because the tool will stop our software before decrypting the files.

This is very important to stop our software service (and dont delete any files in ProgramData folder before stop) because your decrypted files may will be encrypted again.

Como se esto fuera poco, el delincuente informa de las técnicas de cifrado y eliminación de los archivos, así de porqué es obligatorio el pago. El correo es muy divertido y aquí dejamos una parte del mismo:

Please don't panic and send us angry emails or scare us to send claims in police, fbi or others - this is useless.

Stupid questions like – “I have backup and need only 1-2 files and can pay you only 500,1000,1500$ USD etc., We have a small business, this amount is too high” – will be ignored. Have backup – restore your files from it.

Our minimal price for your files is 4000$ USD. We don’t get passwords for free or for 500,1000,1500$ USD etc. We know that you have money.
Information topersons who believe that professionals can decrypt files:

**** Now only WE can get you the true password to decrypt all your files.
You can write to Dr.Web, Eset,Panda and other antivirus and security or datarestore companies,but now this is useless. This “Anti-Child Porn Spam Protection – 2.0 version” you have is from 22.03.2013 – more than 3 month passed and no one helped to get password or decrypt files.

La metodología utilizada por los desarrolladores maliciosos para infectar los equipos y las razones por las cuales los usuarios pueden haber sido afectados son las siguientes:

  • Los usuarios maliciosos intentan acceder al equipo por medio del escritorio remoto de Windows (Puerto 3389) y realizan un ataque de fuerza bruta hasta lograr acceder. Aparentemente estos ataques fueron realizados durante  los fines de semana para evitar sospechas.
  • Luego, de no poseer privilegios de administrador, intentan obtenerlos por medio de la ejecución de exploits que afectan al Escritorio Remoto de Windows (http://support.microsoft.com/kb/2671387 y http://support.microsoft.com/kb/2828223).
  • Una vez logrados los privilegios de administrador, intentan desactivar o desinstalar cualquier solución antivirus que estuviera instalada dentro del equipo. Debido a que disponen de privilegios esto no es un problema.
  • Por último proceden a descargar y ejecutar la amenaza, la cual cifra cualquier archivo que pudiera contener información importante (.doc, .pdf, .mdb, .txt, .xls, .jpg, .png, etc) con una contraseña alfanumérica creada de manera completamente aleatoria y que es enviada automáticamente al desarrollador malicioso vía mail. Luego la amenaza borra de forma segura el archivo que contenía la contraseña de manera que sea irrecuperable utilizando SDelete (http://technet.microsoft.com/en-us/sysinternals/bb897443.aspx) y procede a bloquear el equipo con una pantalla que avisa de la infección y de cómo se debe pagar para recuperar los archivos cifrados.

Si bien la amenaza es detectada por los productos, queremos brindarles una serie de consejos para evitar este tipo de infecciones:

  • Utilizar contraseñas fuertes (alfanuméricas de mínimo 8 caracteres de longitud y que contengan mayúsculas y algún carácter especial) para todos los usuarios.
  • Preferentemente no tener publicado el servicio de escritorio remoto a Internet y de ser necesario que solo sea accesible mediante conexiones de red seguras como son las VPN.
  • Tener actualizado los equipos con todos los parches de seguridad correspondiente (puntualmente aquellos que solucionan los exploits http://support.microsoft.com/kb/2671387 y http://support.microsoft.com/kb/2828223)
  • Poseer una política definida de backups que aloje los mismos dentro de sistemas protegidos.
  • Realizar auditorías de seguridad de manera regular dentro de la red para evaluar la seguridad de los equipos accesibles desde Internet.