Cronología del “Virus de la Policía”

El “Virus de la Policía” también conocido como “Virus Ukash” se ha convertido una de las plagas más insidiosas de los últimos tiempos. Cientos de usuarios en España, Europa y Latinoamérica, han visto cómo su ordenador se bloqueaba nada más iniciarlo y muestra un mensaje que parece provenir del Cuerpo Nacional de Policía, que con la excusa de haberse producido accesos a páginas que contienen pornografía infantil solicita cierta cantidad de dinero para desbloquearlo.
El troyano se basa en los sistemas de pago online Ukash y Paysafecard. Al parecer, hay gente que incluso los ha pagado: “Pagan una multa policial falsa por ver porno en sus ordenadores”
Al igual que hemos estado haciendo desde @InfoSpyware, nuestros amigos de Hispasec han estado siguiendo muy de cerca la evolución de este ransomware, por lo que queremos compartirles la ‘Crónica del Virus de la Policía’ la cual hemos modificado y actualizado e intentaremos mantenerla actualizada con las nuevas variantes.

El éxito de este ransomware se basa en:

Una difusión profesional. Están aprovechando vulnerabilidades muy recientes (enero) en software popular (Java) y difundiéndolo en páginas muy visitadas (webs de descarga directa de material multimedia). Esto está resultando en una difusión masiva del malware puesto que los usuarios se infectan aparentemente sin haber ejecutado directamente ningún fichero.
Un malware “simple” y efectivo. El malware en sí no es “sofisticado” en los términos que manejamos hoy en día (con SpyEye y Zeus como referencia). Solo muestra en pantalla una imagen descargada de un servidor, y espera recibir órdenes. Aunque complejo, no se incrusta en el sistema de una manera especialmente enrevesada. Esto ayuda a que, unido a una detección pobre por firmas, los antivirus no lo detecten tampoco por la heurística de un comportamiento sospechoso.
La ingeniería social. Amenazar al usuario con actividades que realizan comúnmente (descarga de material multimedia, por ejemplo), ayuda a dar credibilidad a la estafa. En algunos foros “underground” hemos observado que el creador se jacta de conseguir que aproximadamente un 1% de los infectados termine pagando. Con el nivel de infección conseguido en toda Europa, podemos imaginar lo lucrativo de la estafa.
Eludir antivirus. Las muestras recién llegadas a VirusTotal suelen ser poco detectadas. Están trabajando en eludir las firmas de forma notable, consiguiendo que las muestras “frescas” pasen muy desapercibidas.
.
Cronología del “Virus de la Policía”

Marzo 2011: Aparecen las primeras muestras de la “Policía Alemana” reportadas por Kaspersky Labs como Trojan.Ransom

Junio 2011: Se extiende a otros países de Europa (Italia, Gran Bretaña, Francia) incluido España en donde el sitio web oficial de ese país “Policía.es” emite una advertencia a los usuarios.

Junio 2011: Se reporta en nuestros foros el primer usuario infectado que nos comenta que hasta acudió a la policía y si bien le comentaron que era una estafa, no podían ayudarlo a reparar su PC. (el usuario nos deja la primer captura de pantalla)

Agosto 2011: El GDT de “La Guardia Civil Española” emite un comunicado advirtiendo a los internautas sobre esta estafa, aunque en ese momento creían que solamente se trataba de un “listillo” que se aprovechaba de los usuarios Españoles únicamente.

Septiembre 2011: En @InfoSpyware desarrollamos y publicamos la primera versión beta de “PoliFix” nuestra principal herramienta gratuita para combatir este ransomware de forma automática la cual mantenemos continuamente actualizada.

Octubre 2011: Aparecen nuevas versiones que son mucho más sofisticadas. No incluyen la imagen en su interior, sino que la descargan desde un servidor según la dirección IP de origen del infectado. El sistema pasa también a formar parte de una pequeña botnet que permite ser eliminada en remoto por el propio atacante, según le convenga.

Octubre 2011: Nos llega al Foro, el primer caso Latinoamericano de la “Policía Federal Argentina” donde a diferencia con Europa que pide $150 o $100 Euros de multa, este pide únicamente $50 pesos Argentinos.

Octubre 2011: Publicamos la: Guía de cómo eliminar el “Virus de la Policía” (con nuestra herramienta PoliFix) y publicamos mas información en nuestro Blog.
.

.
Enero 2012: Los foros se inundan de usuarios infectados con nuevas y diferentes variantes. El sitio web de la Policía Española vuelve a emitir otro comunicado: Nueva oleada de ransomware a nombre de la policía.

Febrero 2012: Aparece una nueva variante, que se aleja del resto en estética, pero con igual funcionalidad y temática: supuesto bloqueo del ordenador por orden de la policía. Tiene la particularidad de renombrar la rama del registro de Windows que se encarga de permitir el arranque del PC en modo seguro (F8). A su vez, la versión “mainstream” del troyano comienza a utilizar diferentes ramas del registro para lanzarse en el inicio del sistema operativo y bloquearlo

Febrero 2012: Microsoft reporta la variante Trojan:Win32/Ransirac.G que si bien no utiliza el gancho de la policía, lo hace con GEMA, la sociedad de gestión colectiva de autores y compositores alemana.

Marzo 2012: Hispasec publica un Documento técnico: Estudio del “troyano de la policía” [PDF]

Marzo 2012: El malware comienza a usar una vulnerabilidad en Java muy reciente para distribuirse. Los usuarios con un Java no parcheado desde final de enero son vulnerables con solo visitar con cualquier navegador una página web manipulada. Normalmente se esconden en publicidades de páginas web de descarga de material multimedia.

Abril 2012: El virus continúa su evolución técnica. Cambia de estrategia y no usa imágenes, sino HTLM. También hay variantes que usan características poco conocidas de Windows para bloquearlo. Por último, comienza a destruir por completo el arranque en modo seguro, único “salvavidas” de muchos usuarios, que se ven incapaces de eliminar el malware si no es con otros métodos de recuperación más sofisticados.

Abril 2012: Hispasec publica la utilidad WinLockLess para evitar, si no la infección, al menos que el malware (este y cualquier otro tipo) se instale en el inicio de Windows perpetuando la infección y permitiendo el bloqueo del equipo.

Abril 2012: PoliFix by InfoSpyware es actualiza con las últimas variantes reportadas de todos los países, se encarga de reparar todos los sectores modificados por el malware, incluyendo el modo seguro, al igual que informar si se cuenta con la última versión de Java disponible. (En caso de no poder iniciar su equipo en modo seguro, será necesario iniciar desde un Live CD o pendrive como Kaspersky Rescue Disk, o poner el disco infectado en otro equipo, o utilizar el seleccionar ejecutar para poder lanzar PoliFix.

Autor: Marcelo Rivero
Microsoft MVP Enterprise Security - Founder & CEO to ForoSpyware & InfoSpyware.            

PoliFix 2.0

PoliFix 2.0

PoliFix es una herramienta gratuita desarrollada por @InfoSpyware para elimina el virus de la policía, también conocido como ransomware de la policía. Si te han aparecido avisos con el logo de la policía y una invitación a pagar una cantidad de dinero, PoliFix es lo que necesitas.

“Su dirección IP ha sido registrada en las webs ilegales con contenido pornográfico orientadas a la difusión de la pornografía infantil, zoofilia e imágenes de violencia contra menores! [...] Además, desde su ordenador se realiza un envío ilegal (SPAM) de orientación pro terrorista.”

Con este mensaje, cientos de usuarios en España, Argentina y Europa han visto cómo su ordenador se bloqueaba nada más arrancarlo. Con el logo de la policía española, este ransomware es una de las plagas más insidiosas de los últimos tiempos…

Funciones de PoliFix:

PoliFix detecta y elimina el virus de la policía (también llamado Ukash virus) en todas sus variantes conocidas las cuales nos van reportando a través de nuestros Foros de Ayuda gratuita. (Policía Española, Argentina, Alemana, Bélgica, Francesa, Holandesa, Italiana, Inglesa y Suiza.)

Desbloquea y repara todas las funciones de Windows modificadas por el ransomware, Administradores de Tareas, Escritorio, REGEDIT, Modo Seguro (Modo a prueba de fallos)

PoliFix comprueba la versión de Java instalada en el equipo y en caso de estar desactualizada, advierte al usuario mediante un mensaje de alerta.

PoliFix genera un reporte en C:\PoliFix-log.txt en donde muestra las acciones realizadas.

Para usar PoliFix, siga los siguientes pasos:

1- Descarga PoliFix en una memoria USB desde otro PC
2- Inicia el PC infectado en Modo a prueba de errores
3- Conecta el pendrive en el ordenador
4- Ejecuta PoliFix desde el pendrive y espera

Virtual Labs de MS Windows Server 8

Virtual Labs de MS Windows Server 8

Si eres uno de los miles de usuarios que no se han podido resistir a probar la versión beta de Windows Server “8”, os tenemos una gran noticia, ya que gracias a la campaña de Virtual Labs de Microsoft puedes probar las novedades y mejoras que trae este nuevo sistema operativo, como son la facilidad de administración de sistema con Windows PowerShell, el almacenamiento de forma remota a cualquier máquina, administración de directorio activo, Hyper-V y mucho más.

Para asistir a dichos cursos online, no se requiere de ninguna instalación compleja, ya que antes de empezar solo haría falta leer las necesidades mínimas del sistema, seleccionar un Virtual Lab de la lista y la aplicación se pondrá en marcha.

Si queréis ver más información acerca de estos Virtual Labs visitar el siguiente enlace.

Entre los cursos disponibles se encuentran:

• Active Directory Deployment and Management Enhancements
• Configuring a Highly Available iSCSI Target
• Configuring Hyper-V over Highly Available SMB Storage
• Implementing Storage Pools and Storage Spaces
• Introduction to Windows PowerShell Fundamentals
• What’s New in Windows PowerShell 3.0
• Managing Branch Offices
• Managing Network Infrastructure
• Managing Your Network Infrastructure with IP Address Management
• Managing Windows Server "8" with Server Manager and Windows PowerShell 3.0
• Online Backup Service
• Using Dynamic Access Control to Automatically and Centrally Secure Data

No nos queremos despedir sin antes recordaros que si quieres aprender mucho más sobre los secretos de los sistemas Microsoft Windows, te recomendamos leer el libro de Sergio de los Santos "Máxima Seguridad en Windows: Secretos Técnicos", o siempre puedes suscribirte al Canal RSS de Windows Técnico para estar al día de las novedades e información técnica de interés.

---

Enviado abr 24 2012, 06:14 por Juan Luis Hernangómez

Microsoft: Windows 8 Release Preview para inicios de junio

Imagino que varios de ustedes pudieron descargar la beta Consumer Preview de Windows 8, cuando esta fue lanzada a finales de febrero, ¿no es cierto? Pues bien, prepárense, porque ahora, Microsoft va a lanzar otro adelanto más de su tan esperado nuevo sistema operativo, y llevará como nombre Release Preview.

Eso quiere decir que será algo así como una versión preliminar de Windows 8, con algunas mejoras y soluciones de posibles bugs encontrados en la etapa anterior de la novedosa plataforma de Microsoft.
El anuncio de la Release Preview de Windows 8 fue hecho por el propio Steven Sinofsky, presidente de la unidad de Windows de Microsoft, en un evento realizado en Japón, llamado Windows Developer Days. Asimismo, este anuncio de Sinofsky fue confirmado más tarde a través de la cuenta en Twitter de Building Windows 8.

¿Qué diferencias habrá entre la Release Preview y la Consumer Preview de Windows 8? Microsoft aún no ha dado señales claras sobre los elementos distintos de estos adelantos, pero se presume que la Release Preview será ya casi la versión definitiva de Windows 8, por lo que habría que estar muy atentos cuando llegue la primera semana de junio, tiempo en que Microsoft nos dará a conocer con mayor detalle esta Release Preview de Windows 8.

Mientras tanto, recordemos que Microsoft anunció que Windows 8 tendrá tres versiones oficiales, más una llamada Windows 8 Enterprise.

Fuente: Tech Spot
Martes 24 de abril, 2012 por Jorge Verástegui

FBI: 350 mil personas sin internet en julio si no eliminan un malware

FBI: 350 mil personas sin internet en julio si no eliminan un malware

Para muchos, quedarse sin Internet es lo peor que puede pasarles en la vida. Aunque tener malware en el ordenador también es todo un problema, y ahora el malware llamado DNS Changer amenaza a los usuarios de Internet, por eso aproximadamente 350 personas se quedarían sin Internet el próximo 9 de julio.

Los 350.000 afectados con el malware deberán desinfectar sus equipos, es lo que el FBI indica. En el año 2007 apareció el troyano DNS Changer y se ha encargado de infectar a muchos equipos. Este malware, que afecta a PCs y Macs, podía llevar a los usuarios a sitios web creados por los autores del virus, donde los encargados vendieron al menos USD$14 millones en publicidad que siempre será vista por los usuarios que han sido infectados.

Cabe mencionar que en noviembre pasado, el FBI arrestó a seis hombres de Estonia que habrían estado a cargo de este fraude, también confiscaron servidores DNS falsos donde los usuarios infectados estaban siendo dirigidos. Se puso servidores de reemplazo por un tiempo, pero el plazo se ha terminado y el FBI quiere desconectar los servidores.

¿Qué significa todo esto? Los ordenadores infectados no lograrán llegar a la web por medio de su navegador porque el malware querrá redirigirlos a servidores que ya no existen. Aquí debemos decir que el FBI quería desconectar estos servidores en marzo, pero se ordenó extender el plazo hasta julio para que los usuarios tengan tiempo de limpiar sus equipos.

La idea original del FBI era desconectar los servidores en marzo, pero una corte judicial ordenó extender el plazo hasta julio para que las personas pudieran limpiar sus equipos. Quiere decir que todos los usuarios deben limpiar sus ordenadores hasta antes del día 9 de julio, de lo contrario no podrán acceder a Internet. ¿Quieres saber si estás infectado? Puedes revisar este sitio creado por el FBI y ver la solución al problema.

Fuente: PCWorld
Martes 24 de abril, 2012 por Meylin Paredes

Falta BOOTMGR – Error Falta BOOTMGR en Windows 7 y Vista

1. Arranca el sistema desde el DVD de Windows 7 o Windows Vista.
2. Selecciona la opción Reparar el sistema.
3. Selecciona Cancelar para salir del asistente de reparación.
4. Ahora se mostrará una pantalla con varias opciones. Seleccionamos Símbolo de sistema.
5. Escribe la letra de la unidad de DVD en la línea de comandos más : y presiona Intro (Entrar – Enter).
6. Ahora si tu Windows 7 o Vista está instalado en el drive C, escribe el comando

   copy bootmgr c:\

   y presiona Intro.
7. Ahora escribe exit y presiona Intro.
8. Reinicia tu computador.
9. Selecciona Iniciar Windows normalmente.

Ahora tu problema debería estar resuelto el problema del error Falta Bootmgr.
Suerte.

Windows 8 tendrá finalmente cuatro versiones

Microsoft ha anunciado que Windows 8 tendrá una cuarta versión, Enterprise, que se sumará a las tres confirmadas hasta la fecha: la genérica Windows 8, la orientada a dispositivos con procesadores ARM, Windows 8 RT, y la dirigida a profesionales y empresas, Windows 8: Pro.

La versión Enterprise de Windows 8 incluye todas las características de Windows 8 Pro, y añade otras orientadas a las empresas. Entre ellas destaca Windows to Go, que permite instalar el sistema operativo en una llave USB para llevarlo y ejecutarlo en cualquier equipo de forma segura.

También incorpora DirectAccess, que permite a los usuarios remotos acceder a los recursos de la red corporativa sin necesidad de una VPN separada. Otra novedad es BranchCache, que permite a los PC cachear los archivos, sitios web y otros contenidos de los servidores centrales para que el contenido no se descargue una y otra vez en la red.

Por su parte, para asegurar que los usuarios tan solo ejecutan aquellas aplicaciones que les están permitidas se ha incluido AppLocker, que permite a los administradores de la red asegurarse de los programas que funcionan en cada grupo de usuarios.

By PC ACTUAL

¿Veremos algún día un Microsoft Linux?

Juan Ranchal       13/04/20124

El gigante del software propietario ha puesto en marcha una compañía filial denominada Microsoft Open Technologies, Inc. que centralizará la inversión y esfuerzos de la compañía en interoperabilidad, estándares abiertos y software abierto.

Frente a la hostilidad manifiesta hace una década contra el software de código abierto, calificando a Linux como un ‘peligro comunista’ o denunciarlo como ‘cáncer de la industria del software’, el cambio de estrategia de Microsoft en los últimos años ha sido notable, lógico y creemos positivo, aunque la compañía siga apostando por el software propietario como centro de su funcionamiento e ingresos.

Aún así, en las últimas semanas hemos conocido detalles como el apoyo al proyecto colaborativo para crear mapas libres OpenStreetMap y el aumento de contribución de Microsoft al kernel Linux, para situarse en el top-20 de empresas contribuidoras, algo impensable hace pocos años.
El último paso, ha sido -nada menos- que la creación de una filial presidida por Jean Paoli (hasta ahora general manager de interoperabilidad en Redmond) lo que “asegura la estabilidad a largo plazo del compromiso de Microsoft con los estándares abiertos“, cita un ejecutivo, antes programador, y verdadero impulsor en Microsoft por esta nueva estrategia.

Paoli explica que su equipo de interoperabilidad será la base de la filial recordando que han estado trabajando en estrecha colaboración en numerosas iniciativas de la W3C con el HTML5, IETF para el HTTP 2.0, y estándares cloud como DMTF y OASIS.

Microsoft Open Technologies, Inc. “construirá bloques de interoperabilidad en servicios cloud, colaborará con las organizaciones de estándares y soportará directamente el trabajo de desarrolladores de lenguajes como PHP, Java y Node.js o .NET en la plataforma Windows Azure”, dice Paoli.

“Hoy en día, miles de estándares abiertos son compatibles con Microsoft y muchos entornos de código abierto como Linux, Hadoop , MongoDB, Drupal, Joomla y otros, se ejecutan en nuestra plataforma”, explica Paoli, asegurando que desde la nueva compañía será más fácil y rápido liberar software de código abierto y participar en los esfuerzos comunitarios por las normas abiertas.

Windows 8 tendrá tres versiones

Windows 8 tendrá tres versiones

A los pocos días de ser presentado el nuevo sistema operativo de Microsoft, Windows 8, empezaron a surgir los rumores sobre cuáles serían las versiones con las que esta nueva plataforma contaría. Incluso, aquí, en Tecnología 21, les contamos que lo más probable era que Windows 8 cuente con nueve versiones, algo que muchos no recibieron con agrado, ya que ante tantos ‘sabores’, más que ayudarnos a escoger el que mejor se adapte a nuestras necesidades, lo que se lograba era marearnos.

Pero, felizmente, Microsoft ha tomado la decisión de solo darle a Windows 8 tres versiones, con características específicas, que son: Windows 8, Windows 8 Pro y Windows RT.
Para hablar un poco de cada de una de estas tres versiones de Windows 8, empecemos por la primera, es decir, la versión que llevará el mismo nombre del sistema operativo sin ningún añadido más: Windows 8. Esta versión está destinada al público en general, e incluirá todas las características que ya hemos visto en las pasadas versiones de la plataforma de Microsoft, entre las que se destaca la interfaz Metro, la actualización del Explorador de Windows, y el soporte para las aplicaciones Metro.

La segunda versión, Windows 8 Pro, tiene como público objetivo a las empresas y los usuarios más entusiastas. Esta versión de Windows 8 tiene entre sus características principales la encriptación, virtualización, gestión de PC, características de conexión de dominio, entre otras. Y aquí habría que desplegar una versión más, que sería Windows 8 Enterprise, que estaría disponible para las organizaciones con acuerdos de Software Assurance. La versión Windows 8 Enterprise podríamos calificarla como una dentro de Windows 8 Pro, ya que contiene sus mismas características, solo que presenta añadidos en la gestión de TI.

Por último, la versión Windows RT es el nombre que le da Microsoft a Windows 8 para los dispositivos que cuentan con procesadores ARM. Para contar con esta versión de Windows 8 no tendremos que realizar ninguna actualización, ya que solo vendrá preinstalada en las laptops o tablets que tengan este tipo de procesadores. Windows RT incluirá versiones optimizadas táctiles de los nuevos Microsoft Word, Excel, PowerPoint y OneNote. En el campo de las aplicaciones para Windows RT, el foco está en el desarrollo basado en el nuevo Windows Runtime, o WinRT, que ‘forma la fundación de una nueva generación de disponibilidad en la Nube, disponibilidad táctil y aplicaciones web conectadas de todo tipo’, según Brandon LeBlanc, Windows Communication Manager.

Fuente: Venture Beat
Martes 17 de abril, 2012 por Jorge Verástegui

Haz una copia de seguridad de tu correo de Gmail

Si eres de los que guarda correos valiosísimos con importantes archivos adjuntos e información en el servicio de Gmail y temes que cualquier día, al conectarte a tu cuenta de correo, hayan desaparecido, vamos a enseñarte a hacer una copia de seguridad de los mismos con una de las herramientas disponibles para ello.

Si ya tienes instalado en tu equipo un cliente de correo y en él descargas los mensajes, ya tienes una copia de los mismos. En caso contrario, si solo trabajas on-line, te recomendamos optar por cualquiera de los programas disponibles para dicho quehacer, en nuestro caso, hemos optado por hacerlo con Gmail Backup. Descarga el programa y procede con la instalación.

Una vez hecho, inícialo e introduce tu dirección de correo en Gmail Login y tu contraseña en Gmail Password. A continuación, elige una carpeta que previamente hayas creado con objeto de almacenar tu correo en Backup Folder. Por defecto, aparece marcada la casilla Newest emails only, con lo que solo se hará una copia de seguridad de los correos más recientes.

Para evitarlo, y no limitar el backup a los nuevos correos, desmarca dicha casilla y elige un rango de fechas (Since date y Before date). Para iniciar el proceso de descarga, no tienes más que pinchar en Backup. ¿El resultado final? Todos tus correos completos y en formato .eml.

By PC ACTUAL 17/04/2012.

Iceberg Generator Tool

14 de abril
Publicado por MAURO

Iceberg Generator Tool es un Killer de programas de seguridad creado por Sanko y Slore.
Esta diseñada para deshabilitar los programas de proteccion mas conocidos y evitar que se actualizen o ejecuten.



Caracteristicas:

- Melt (Elimina el archivo al ejecutarlo)
- Persistencia en autoinicio
- Mata algúnos softwares de protección.
- Oculta procesos en el administrador de tareas
- Apagado el pc al tratar de borrar el archivo
- Encriptable

Instalar dependencia
El programa utiliza una dependencia, si al intentar abrirlo les da un error deben instalarla.
Para instalarla deben abrir el archivo "Register.exe" ubicado en la carpeta "Codejock" de la descarga, luego le dan click en "Register". Eso es todo, ahora deberia abrir bien el programa.

Modo de uso
Su uso es muy simple solo seleccionan el programa que desean deshabilitar y se generara un archivo en la carpeta donde se encuentra el Iceberg Generator, ese archivo (killer) es el que matara el proceso.
Pueden generar uno o varios Killers o todos en un solo archivo.

Video:



Esta es una version beta y como es de suponer tiene algunas fallas, pero funciona muy bien con la mayoria de los antivirus.

¡ADVERTENCIA: NO EJECUTAR EN SUS PCS LOS ARCHIVOS QUE GENERA. USAR SOLO EN PCS DE PRUEBA!

Descarga:
Iceberg Generator Tool V.Beta - (Descarga directa Tuchost.com)

Contraseña del rar: troyanosyvirus.com.ar

Soluciona errores con los puertos USB gracias a Microsoft USB Fix It

10/04/2012|Tomás Cabacas|

• 

Microsoft USB Fix It es una utilidad gratuita especializada en resolver conflictos con los puertos USB de equipos basados en Windows. Si habéis notáis que vuestro equipo no detecta correctamente los dispositivos, da problemas a la hora de expulsar un pendrive o se queda colgado al conectar un módem 3G, por citar algunos ejemplos, Microsoft USB Fix It os puede ayudar.
Para utilizarla solo es necesario descargarla desde este enlace. No necesita instalación, simplemente tenéis que ejecutarla y seguir los pasos indicados (en perfecto castellano) para que el sistema analices el estado de la conectividad USB y os ofrezca la posibilidad de resolver posibles problemas de forma totalmente automática.

Aunque Microsoft USB Fix It no hace milagros, si puede resultar de ayuda para usuarios con poca experiencia que no quieren realizar cambios avanzados en la configuración del sistema o editar el Registro de Windows para resolver los problemas más habituales.

Descarga | Microsoft USB Fix It
Descarga link : http://go.microsoft.com/?linkid=9802032

Hispasec presenta WinLockLess: Herramienta para prevenir el arranque de programas en el inicio de Windows (y su potencial bloqueo)

Hispasec presenta WinLockLess: Herramienta para prevenir el arranque de programas en el inicio de Windows (y su potencial bloqueo)

Hemos creado una pequeña herramienta para prevenir (en lo posible) que el malware se ejecute de nuevo en el inicio del sistema (y así pueda bloquearlo). Esperamos que sea útil contra el malware en general.

¿Qué hace el programa?

Evita que los programas modifiquen ciertos puntos del sistema para que se lancen de forma automática en el inicio de Windows. Se ha intentado que sea bastante sencillo: niega con un solo click el permiso de crear subclaves y establecer el valor (y en algunos casos, de borrar) sobre estas ramas implicadas en el arranque de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKCU\Software\Microsoft\Windows NT\CurrentVersion\WinLogon

HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

Además protege la carpeta de inicio del usuario, y la rama:

SYSTEM\CurrentControlSet\Control\SafeBoot

Evitando no solo crear sublclaves y establecer valores, sino también que se borre. Con esto nos aseguramos de que siempre podremos entrar en el modo seguro.

Las claves son protegidas tanto en su versión "nativa" de 64 bits como en las virtualizadas de 32 bits (bajo Wow6432node). Esto quiere decir que protegería tanto de programas nativos compilados en 64 bits como los de 32. Por ahora existe poco malware compilado de forma nativa para 64 bits, pero será común en el futuro.

Si las ramas no existen, las crea y establece los permisos para proteger así al usuario.

¿Por qué esas claves?

Estas son las claves más conocidas que suelen modificar los troyanos para iniciarse con el sistema y bloquearlo. Hay muchos otros puntos de inicio, pero que no son utilizados por la mayoría del malware. Por ejemplo, el malware de la policía, SpyEye, zbot... todos usan normalmente alguna de esas ramas para arrancarse al inicio. En última instancia, al proteger el modo seguro, el usuario se asegura de que siempre podrá entrar en ese modo sin alteraciones.

Siempre se aplicarán las reglas para el usuario bajo cuyo contexto se lanza el programa. Esto quiere decir que si se usan varios usuarios en el sistema, se debe lanzar para cada uno de ellos. Eso sí, el programa requerirá privilegios de administrador para modificar algunos permisos.

El programa permite tanto aplicar los cambios como revertirlos. Así, si el usuario necesita modificar esas ramas legítimamente, solo debe revertir temporalmente el bloqueo.

¿Qué no hace el programa?

El programa no es un antivirus ni evitará ninguna infección. Sólo evitará que, buena parte del malware conocido, bloquee el acceso al sistema al arrancarse con él. Por supuesto, no están contemplados todos puntos de arranque de Windows usados por el malware, pero sí las más relevantes.

El programa queda residente, pero no es necesario que lo haga. De hecho, no se recomienda. Si queda residente es para recordar al usuario que ha aplicado los permisos y, dado el caso, revertirlos cómodamente.

No se instala. Tan solo es una interfaz cómoda para aplicar ciertos permisos en el registro, que pueden ayudar a evitar que algunas variantes de malware se arranquen con el sistema y no permitan su uso ni su arranque en modo seguro. Esto quiere decir que, si el usuario queda infectado, el troyano podrá hacer lo que quiera y necesite en el sistema durante la primera ejecución. Aplicar WinLockLess impedirá (en algunos casos) que se arranque en el siguiente reinicio, pero el usuario deberá todavía desinfectar su máquina.

El programa tampoco detiene la ejecución actual del troyano (antes de un reinicio) ni lo borra de su ubicación en el disco duro. Solo impide que se copie en los puntos de inicio de Windows.

Por supuesto, un malware en un momento dado puede modificar los permisos aplicados por el programa, eliminar la protección, y establecerse en las ramas del registro. Incluso ejecutarse como SYSTEM... Pero no es habitual que el malware actúe de esa manera actualmente, ni se preocupe demasiado por los permisos (excepto cuando no es administrador, en cuyo caso busca la configuración del usuario).

¿Cómo debo usarlo?

Simplemente se ejecuta, se aplican los cambios en las ramas deseadas, y poco más. El usuario no debe notar ninguna incidencia en su sistema. Es cierto que ciertos programas legítimos querrán escribir en el registro, especialmente en

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Para arrancarse con Windows. Si los cambios fueron aplicados, WinLockLess se lo impedirá. En ese caso, el usuario deberá revertir las modificaciones en el registro (pulsando sobre el botón correspondiente), instalar el programa deseado, y volver a aplicar las modificaciones.

El programa también sirve para evitar que los programas en general se arranquen al inicio (algo que suele ser molesto para usuarios iniciados).

¿Qué necesito para ejecutarlo?

Se necesita como mínimo la versión 4 de .NET (disponible en http://www.microsoft.com/download/en/details.aspx?id=31 o a través de actualizaciones automáticas). Los usuarios de Vista y 7 probablemente ya dispongan de ella a través de las actualizaciones automáticas. La razón de usar esta versión del framework (entre otras) es el trato nativo a ramas de 64 bits en el registro. WinLockLess. Ha sido programado por Sergio de los Santos en C#, y el diseño es de Jose Mesa. Por supuesto, no se ofrece ninguna garantía de que bloquee la activación en el arranque de futuras versiones de ningún tipo de troyano.

Ejecuté WinLockLess y aun así el troyano se ha lanzado en el arranque.

¿Qué ha pasado?

Es posible. Los troyanos que bloquean el ordenador pueden usar decenas de técnicas para lanzarse en el inicio. WinLockLess solo cubre las más comunes. También es posible que se haya lanzado con un usuario diferente al infectado. También, hipotéticamente pero no probable, el troyano ha podido eliminar primero los permisos y luego escribirse en la rama.

En cualquier caso, por supuesto, es una capa más que no debe crear una falsa sensación de seguridad. Se deben seguir usados los métodos de prevención tanto reactivos como preventivos habituales.

¡Windows me advierte al ejecutarlo de que puede ser peligroso!

Esto es porque ha sido descargado de Internet, es un ejecutable, y no está firmado.

Se puede descargar desde:

http://hispasec.com/winlockless/

Laboratorio Hispasec

laboratorio@hispasec.com

Configurar correo Hotmail en Outlook 2010

Configurar correo Hotmail en Outlook 2010

Si no te funciona el Microsoft Live Connector para Outlook o si simplemente prefieres no utilizarlo, puedes configurar Live Hotmail como cuenta POP3. Aquí los datos de configuración para los expertos:

Email: Tú dirección Hotmail o Live
Servidor de entrada: pop3.live.com (Port 995, activar SSL)
Servidor de salida: smtp.live.com (Port 587, activar SSL/TSL)
Usuario: Tú dirección Hotmail o Live
Contraseña: Tú contraseña de Hotmail o Live

Si no configuras cuentas de correo todos los días, con este paso-a-paso te funcionará seguro:

1) Abrir el Outlook

2) Clic en Archivo > Información > botón Configuración de la cuenta > se abre un menú y eliges la opción Configuración de la cuenta

3) Clic en el botón Nuevo…




4) Seleccione la opción Cuenta de correo electrónico, luego das clic en siguiente.



5) En la ventana siguiente eliges la tercera opción Configurar manualmente las opciones del servidor o tipos de servidores adicionales

6) Seleccione Correo electrónico de Internet

7) En Su nombre llena tu nombre, en Dirección de correo electrónico tu dirección de correo Hotmail, en Servidor de correo entrante pones pop3.live.com y en Servidor de correo saliente pones smtp.live.com en información de inicio de sesión pones tu cuenta de correo y tu contraseña.




8.) Haz clic en en botón Más configuraciones

9) Seleccionas la pestaña de Servidor de salida

10) Marcas Mi servidor de salida (SMTP) requiere autenticación



11) Seleccionas la pestaña de Avanzadas

12) Pon en Servidor de entrada (POP3): 995 y marcar este servidor requiere un conexión cifrada (SSL) y en Servidor de salida (SMTP): 587 y marcar este servidor requiere una conexión cifrada (SSL)




13) En Entrega puedes configurar que Outlook borre de tu cuenta Hotmail todos los correos descargados o no, marcando Dejar una copia de los mensajes en el servidor

14) Clic en aceptar > siguiente y listo!

Domingo, 22 de mayo de 2011 ralf

Windows Server 8

Windows Server 8, primeras impresiones

Posted In Windows Server 8 - By ctxdom On Sábado, abril 7th, 2012

Finalmente realicé la descarga de la ISO de Windows Server 8, y procedí a instalarlo y ver las distintas opciones y/o variantes que este ofrecía con su predecesor, pudiendo indicar que esta nueva edición me ha sorprendido enormemente para bién, claro!, pero con ciertas carencias a mi entender a poder ser manipulado por administradores o expertos, la nueva versión ofrece unas características realmente muy interesantes, una consola de gestión unificada, pero más complicada y menos intuitiva que en sus versiones anteriores (a mi entender claro!), pero que cuando llevamos un tiempo manejándolo empezamos a notarnos realmente cómodos.
En este artículo podremos ver el proceso de instalación de Windows 8 Server, así como el añadir un Rol específico y el acceso a ciertos elementos de interés.
Iniciamos el proceso de instalación con la ISO y arrancándola en un equipo con procesador VT,



Lo que sorprendió inicialmente es el logo utilizado en esta versión, espero que lo cambien, desde mi punto de vista es un logo que refleja muy poca seriedad en un sistema operativo de servidor con características Enterprise,



Iniciamos el proceso de instalación especificando el idioma utilizar, en nuestro caso English,



Pulsando Install Now, para iniciar el proceso de instalación de Windows 8 Server,



Iniciándose el proceso de instalación,



Especificaremos el tipo de instalación que deseamos utilizar, en nuestro caso NO seleccionaremos la opción CORE, si no que utilizaremos interface GUI,



Aceptaremos los términos de licencia y pulsaremos Next para continuar,



Donde realizaremos una instalación Custom,



Especificaremos la unidad de disco y/o RAID donde realizar la instalación, ocupando esta 64GB, como espacio requerido, podríamos encontrarlo algo elevado para nuestro gusto, teniendo en cuenta los requerimientos de Windows 2008R2, creo que es algo “exagerado” la ocupación en cuanto al mismo para realizar funciones similares , aunque se incluyeran ciertas funcionalidad nuevas muy interesantes , pero que siendo realistas en muchas empresas no serán utilizadas por las características de las mismas (opinión personal).



Iniciamos el proceso de instalación de Windows 8 Server,



Arrancando el proceso de configuración de dispositivos,



Finalizando la configuración de elementos,



Pulsaremos CTRL+ALT+DEL,



Y procederemos a validarnos en el entorno (Todo muy similar a Windows 8 para Desktop),




Iniciándose el proceso de creación de nuestro perfil de usuario (idéntico al los distintos procesos que ya conocemos actualmente a nivel visual),



Iniciándose la nueva consola de administración SERVER MANAGER, la cual me ha sorprendido gratamente con respecto a sus versiones anteriores, aúnque creo que podría ser mucho más intuitiva, aúnque puedo indicar que es francamente muy operativa y eficiente,



La consola permite acceder de una forma muy rápida a los distintos elementos de configuración más importasen de nuestro servidor de Windows 8 Server,



Podremos añadir nuevos Roles a nuestro servidor, de una forma más directa y clara, en este punto mostramos un paso a paso de añadir el Rol de AD,



Pulsaremos Next, para continuar,



Pulsaremos Next para continuar,



Pudiendo seleccionar los correspondientes Roles que deseemos, pulsando Next para continuar,



Una vez seleccionado el Rol, de AD, pulsaremos NExt para continuar,



Añadiendo las distintas features, pulsando en “Add Features”,



Pulsando NExt para continuar,



Pulsando Install para instalar,
Uno de los puntos interesantes es que los roles pueden ser instalados en BackGround, y mientras estos se cargan podemos realizar otras tareas o funciones que puedan se de interés para nosotros,



Pudiendo volver a la pantalla de Start, acceder nuevamente al escritorio o ver o ejecutar otras tareas que podamos necesitar,



Donde podemos observar la ejecución de las distintas funciones en Backgroud,



El Menú de Tools, lo he encrontrado francamente muy útil y directo, permitiendo acceder a todo aquello que por norma general se utiliza para configurar ciertos elementos de un servidor.
A grandes rasgos, puedo indicar que Windows Server 8 me ha gustado bastante, aúnque tratándose de una Beta, seguro que existirán muchos cambios interesantes y que podrá variar en cuanto a la versión Final, lo que en muchos casos será complejo de entender es el nuevo modelo de operativa y de gestión del Servidor, ya que no sigue una línea a las existentes actualmente.

Por lo demás mis felicitaciones a Microsoft, realmente se nota que han realizado algo potente y con unas grandes posibilidades.

/Xavi

CTXDOM.COM