Seguridad Microsoft : Malware

Microsoft libera séptima versión del Reporte de Inteligencia de Seguridad

linacre — Sun, 08 Nov 2009 23:18:50 GMT

Hola, escribe Christian Linacre para informar que hemos liberado la Séptima versión del Reporte de Inteligencia de Seguridad (SIR), los invito a leer la versión en español, así como la información más relevante resumida aquí.

Este es un esfuerzo que hacemos para entregar más información ya que Microsoft está comprometido a ofrecer un nivel sin precedentes de inteligencia de seguridad para mantener mejor informados a los individuos y las empresas y ayudarlos a maximizar sus inversiones en seguridad.

Microsoft proporciona información completa que ayuda a las empresas y los individuos a proteger con eficacia sus ambientes mediante guías y análisis autorizados y geográficamente relevantes.

Los datos para el reporte SIR se derivan de:

MSRT: se ejecuta en 450 millones de computadoras al mes en todo el mundo.
BING: escanea miles de millones de páginas web al año.
Windows Live OneCare y Windows Defender: en más de 100 millones de computadoras alrededor del mundo.
Forefront Online Protection for Exchange: escanea miles de millones de mensajes de correo electrónico al año.
Windows Live Hotmail: en más de 30 países – cientos de millones de usuarios de correo electrónico activos.

El Volumen 7 del Reporte de Inteligencia de Seguridad de Microsoft muestra que las principales amenazas que enfrentan hoy las empresas son el software de seguridad falso y el resurgimiento de gusanos.

PRINCIPALES AMENAZAS EN EL REPORTE SIRv7

El reporte SIRv7 muestra la manera en que las amenazas de software dañino continúan aumentando en volumen, así como la forma en que diferentes categorías de amenazas surgen con el paso del tiempo.

1) Software de seguridad falso. Software dañino diseñado para aprovecharse del deseo de los usuarios de mantener protegidas sus computadoras. Microsoft detectó software de seguridad falso en 13.4 millones de computadoras durante el primer semestre del 2009, lo que representa una disminución respecto a los 16.8 millones en el segundo semestre del 2008 —una mejora, pero aun así una amenaza importante—.

Impacto de Microsoft. Parte de esta reducción puede deberse a las características contra software dañino basadas en navegador, tales como el filtro SmartScreen de Internet Explorer 8, que ayuda a los usuarios a protegerse de la exposición a amenazas como software de seguridad falso antes de que se infecten sus sistemas.
Amenazas combinadas. Varias familias de software de seguridad falso recién lanzadas se están diversificando y exhibiendo comportamientos similares a otras amenazas. Por ejemplo: Se ha observado que Win32/Winwebsec descarga Win32/Koobface —mismo que en ocasiones muestra ventanas emergentes con publicidad sobre software de seguridad falso—, mientras que Win32/InternetAntivirus descarga el programa de robo de contraseñas Win32/Chadem.
Impacto en las empresas: Puede resultar costoso y afectar la productividad.
Llamado a la acción: Se recomienda a los usuarios utilizar una solución antivirus de marca reconocida y mantener actualizadas sus definiciones de amenazas.

2) Resurgimiento de gusanos. Durante el primer semestre del 2009, los gusanos ascendieron del quinto lugar en el reporte SIRv6 al segundo lugar en el reporte SIRv7 —un incremento de 98.4%— con lo cual se convirtieron en la segunda categoría de amenazas más frecuente. Esto se debe en gran parte a detecciones importantes de:

Conficker – una nueva familia de gusanos agresiva y técnicamente compleja.

Impacto en las empresas: Conficker fue la principal amenaza de gusanos detectada para las empresas, aunque no para los consumidores, debido a que 1) utiliza varios métodos de propagación que funcionan con mayor eficacia dentro de un ambiente de red con firewall que por el Internet, y 2) las computadoras residenciales tienden a tener habilitadas las actualizaciones automáticas.
Llamado a la acción: Esto reitera aún más la necesidad de las empresas de contar con un programa sólido de administración de actualizaciones de seguridad. Microsoft ofrece recursos que ayudan a las empresas a protegerse mejor, entre ellos el Índice de Explotación y la Guía de Actualizaciones de Seguridad Microsoft.

Taterf – una familia de gusanos que se distribuye a través de unidades mapeadas para robar el nombre de usuario e información sobre las cuentas de juegos en línea populares; ha aumentado 156% desde el reporte SIRv6.

Impacto en las empresas: Taterf está dirigido a los juegos de rol en línea para múltiples jugadores, ya que depende menos de la ingeniería social para propagarse y más del acceso a los archivos compartidos que carecen de protección y a las unidades de almacenamiento extraíbles, los cuales son muy comunes en las empresas.
Llamado a la acción: El impresionante crecimiento de Taterf enfatiza la necesidad de que las empresas desarrollen reglas para el uso de unidades extraíbles (tales como unidades miniatura) y evalúen la manera en que se establecen conexiones con las máquinas fuera de la empresa (por ejemplo, si se cuenta con soluciones contra software dañino o se realiza un escaneo completo antes de conceder acceso).

Otras amenazas de gusanos. Además de Conficker y Taterf, Win32/Autorun (generalmente desactiva la característica Windows Autorun) y Win32/Hamweq (se propaga a través de unidades extraíbles) también representan amenazas importantes para las empresas.

Llamado a la acción: Al igual que Conficker y Taterf, estos gusanos requieren un estricto proceso de administración de parches y el establecimiento de reglas para el uso de unidades extraíbles.

PERSPECTIVA SOBRE LAS AMENAZAS GLOBALES

El reporte SIRv7 presenta anomalías específicas que son únicas en determinados países y regiones. Algunos ejemplos son:

Brasil: El software dañino dirigido a los usuarios de banca en línea continúa propagándose. De las seis principales amenazas en Brasil, tres se dirigieron directamente a bancos brasileños. Estas amenazas son exclusivas de Brasil, han sido persistentes desde el 2005 y representan el 49.1% de los ataques en el país.
Estados Unidos y Reino Unido: Los troyanos representan la categoría de amenazas más grande en Estados Unidos y el Reino Unido: 46.2% y 44.7%, respectivamente.

El troyano más dominante en E.U.A. es Win32/FakeXPA, que infectó 1,848,039 computadoras en el primer semestre del 2009.

El troyano más dominante en R.U. es Win32/Renos, que descarga automáticamente software no deseado e infectó 260,000 computadoras en el primer semestre del 2009.

Llamado a la acción: El reporte SIRv7 indica que a medida que las amenazas evolucionan, también lo hacen las protecciones tecnológicas. Las compañías deben evaluar sus guías de manera consistente y asegurarse de contar con las mejores soluciones de seguridad para sus necesidades.

Para garantizar que las protecciones evolucionen al mismo ritmo que las amenazas actuales y logren mitigar los riesgos, las empresas pueden utilizar el reporte SIR para evaluar su ambiente e instalar la mejor solución para sus necesidades de seguridad y privacidad.

MEJORES PRÁCTICAS GLOBALES

Las tasas de infección y las amenazas varían geográficamente y, a lo largo de los años, varias regiones han presentado tasas de infección por debajo del promedio mundial. Por primera vez en el reporte SIRv7, Microsoft pidió a los profesionales en seguridad de esas regiones que explicarán la forma en que mantienen protegidos a sus clientes y sus recursos contra las amenazas cibernéticas.

Una de las razones por las cuales las tasas de infección en Japón se mantienen relativamente bajas se debe en gran parte a colaboraciones como el Cyber Clean Center, un proyecto cooperativo entre los ISPs, los principales proveedores de seguridad y las agencias gubernamentales japonesas para educar a los usuarios.
Austria ha definido lineamientos legales estrictos sobre el uso de la TI para reducir las tasas de piratería, y esta medida, acompañada de relaciones sólidas con los ISPs y líneas de Internet rápidas, que ayudan a instalar actualizaciones de seguridad, ha ayudado a mantener bajas las tasas de infección.
Alemania también ha aprovechado los esfuerzos de colaboración con sus comunidades CERT e ISP para ayudar a identificar y crear consciencia acerca de las infecciones botnet y, en ciertos casos, colocar en cuarentena a las computadoras infectadas.

Conclusión. El éxito logrado en cada una de estas regiones consiste en la creciente tendencia de crear una defensa basada en la comunidad, donde la industria en general combina sus fortalezas e inteligencia para ayudar a proteger a los usuarios de computadoras.

Llamado a la acción: Las compañías con operaciones globales deben utilizar el nivel detallado de información geográfica del reporte SIRv7 para protegerse mejor.

Espero les sirva para mejorar la seguridad en sus empresas y hogares, usando la información y aplicando las mejores prácticas.

Saludos, Christian.-

Technorati: Microsoft,linacre,Security,Seguridad,SIR,SIRv7,Reporte de Inteligencia de Seguridad,Security Intelligence Report,malware,gusanos,conficker,taterf,MSRT,Microsoft Security Essentials

del.icio.us: Microsoft,linacre,Security,Seguridad,SIR,SIRv7,Reporte de Inteligencia de Seguridad,Security Intelligence Report,malware,gusanos,conficker,taterf,MSRT,Microsoft Security Essentials

Boletines de Seguridad de Septiembre

linacre — Thu, 01 Oct 2009 06:49:18 GMT

Hola a todos,

escribe Christian Linacre para informarles acerca de los boletines de Seguridad de Septiembre de 2009.

Este mes estamos liberando 5 boletines, 5 de ellos categorizado con severidad máxima de Crítica.

MS09-045 (Crítica): Una vulnerabilidad en el motor de secuencias de comandos de JScript podría permitir la ejecución remota de código (971961). Detalles en: http://www.microsoft.com/latam/technet/seguridad/boletines/2009/ms09-045.mspx
MS09-046 (Crítica): Una vulnerabilidad en el control ActiveX del componente de edición DHTML podría permitir la ejecución remota de código (956844). Detalles en: http://www.microsoft.com/latam/technet/seguridad/boletines/2009/ms09-046.mspx
MS09-047 (Crítica): Vulnerabilidades en Windows Media Format podrían permitir la ejecución remota de código (973812). Detalles en: http://www.microsoft.com/latam/technet/seguridad/boletines/2009/ms09-047.mspx
MS09-048 (Crítica): Vulnerabilidades en TCP/IP de Windows podrían permitir la ejecución remota de código (967723). Detalles: http://www.microsoft.com/latam/technet/seguridad/boletines/2009/ms09-048.mspx
MS09-049 (Crítica): Una vulnerabilidad en el servicio de configuración automática de LAN inalámbrica podría permitir la ejecución remota de código (970710). Detalles: http://www.microsoft.com/latam/technet/seguridad/boletines/2009/ms09-049.mspx

Como siempre recomendamos revisar los sistemas operativos o software afectados y evaluar las instalaciones de estas actualizaciones lo antes posible. Recuerden que tienen herramientas gratuitas para poder hacer esto:

Detección con MBSA (Microsoft Baseline Security Analyzer)
Implementación con WSUS (Windows Server Update Services)

Adicionalmente, la herramienta de remoción de software malicioso MSRT (Malicious Software Removal Tool) está siendo actualizada para poder limpiar nuevas familias de malware:

En el caso de los usuarios hogareños que necesiten información al respecto, les recomiendo leer:

Resumen de Septiembre
Boletín MS09-009

Más información para Seguridad en el Hogar visite Microsoft Protect en español. Si usted es un usuario hogareño y tiene problemas de seguridad como virus o actualizaciones de seguridad, puede solicitar soporte gratuito a PC Segura en: http://www.microsoft.com/latam/protect/support/

Cualquier duda no dejen de poner sus comentarios aquí y si tuvieran problemas relacionados con seguridad (virus o boletines de seguridad) no dejen de contactarse con Soporte a través de http://support.microsoft.com/contactus.

Gracias, Christian.-

**Esto se publica “como está” sin garantías y no confiere derechos**

Technorati: Microsoft,Seguridad,Boletines,linacre,Alertas,Actualizaciones de Seguridad,MS09-045,MS09-046,MS09-047,MS09-048,MS09-049

del.icio.us: Microsoft,Seguridad,Boletines,linacre,Alertas,Actualizaciones de Seguridad,MS09-045,MS09-046,MS09-047,MS09-048,MS09-049

Mail falsos sobre actualización de Outlook

linacre — Thu, 25 Jun 2009 08:12:38 GMT

Hola a todos,

escribe Christian Linacre para comentar acerca de algunos correos electrónicos que han estado llegando acerca de una supuesta actualización de Outlook.

Tal como comenté también el año pasado, nosotros NO MANDAMOS vínculos a actualizaciones o descargas en nuestros correos de notificaciones de seguridad.

Nuestra recomendación es SIEMPRE usar Windows Update directamente a través de http://update.microsoft.com

El correo en particular que está siendo reportado es que se ve en la imagen de abajo.

Cómo identificar que no es legítimo?

En el campo From aparece no-reply@microsoft.com, en el caso de Microsoft los correos de notificaciones de seguridad llegan como notifications@microsoft.com o newsletters@microsoft.com, si esto cambia lo avisaremos en este mismo blog
El link supuesto está llevando a un sitio de phishing que está ubicado en un dominio llamado ill1ki1.com

Mi recomendación es no hacer clic NUNCA en correos con links directos a actualizaciones, es decir, archivos ejecutables; ya que nuestros correos con notificaciones de seguridad siempre están direccionados a un boletín de seguridad que es una página web con el formato MSYY-ddd.mspx donde YY representa el año y ddd representa el numero del boletín que se asigna correlativamente iniciando en 1 con el primer boletín del año.

Adicionalmente, en este caso si están usando Internet Explorer 8 el vínculo en cuestión es bloqueado por el filtro SmartScreen. Si aún no lo estan usando, les recomiendo bajarlo del sitio oficial de Microsoft: http://www.microsoft.com/windows/internet-explorer/

Saludos, Christian.-

Technorati: Microsoft,Seguridad,linacre,Actualizaciones,Alertas,Malware,Phishing

del.icio.us: Microsoft,Seguridad,linacre,Actualizaciones,Alertas,Malware,Phishing

Boletines de Seguridad de Abril

linacre — Wed, 15 Apr 2009 07:00:41 GMT

Hola a todos,

escribe Christian Linacre para informarles acerca de los boletines de Seguridad de Abril de 2009.

Este mes estamos liberando ocho boletines, cinco de ellos categorizados con severidad máxima de Crítica, dos de ellos Importante y uno como Moderado.

MS09-009 (Crítico): Vulnerabilidades en Microsoft Office Excel podrían provocar la ejecución remota de código (968557). Detalles en: www.microsoft.com/latam/technet/seguridad/boletines/2009/ms09-009.mspx
MS09-010 (Crítico): Vulnerabilidades en los convertidores de texto de WordPad y Office podrían permitir la ejecución remota de código (960477). Detalles en: www.microsoft.com/latam/technet/seguridad/boletines/2009/ms09-010.mspx
MS09-011 (Crítico): Una vulnerabilidad en Microsoft DirectShow podría permitir la ejecución remota de código (961373). Detalles en: www.microsoft.com/latam/technet/seguridad/boletines/2009/ms09-011.mspx
MS09-012 (Importante): Vulnerabilidades del kernel de Windows podrían permitir la elevación de privilegios (959454). Detalles en: www.microsoft.com/latam/technet/seguridad/boletines/2009/ms09-012.mspx
MS09-013 (Crítico): Vulnerabilidades en los servicios HTTP de Windows podrían permitir la ejecución remota de código (960803). Detalles: www.microsoft.com/latam/technet/seguridad/boletines/2009/ms09-013.mspx
MS09-014 (Crítico): Actualización de seguridad acumulativa para Internet Explorer (963027). Detalles en: www.microsoft.com/latam/technet/seguridad/boletines/2009/ms09-014.mspx
MS09-015 (Moderado): Una vulnerabilidad de amenaza mixta en SearchPath podría permitir la elevación de privilegios (959426). Detalles en: www.microsoft.com/latam/technet/seguridad/boletines/2009/ms09-015.mspx
MS09-016 (Importante): Vulnerabilidades en Microsoft ISA Server y Forefront Threat Management Gateway (Medium Business Edition) podrían provocar la denegación de servicio (961759). Detalles en: www.microsoft.com/latam/technet/seguridad/boletines/2009/ms09-016.mspx

Detección con MBSA (Microsoft Baseline Security Analyzer)
Implementación con WSUS (Windows Server Update Services)

Adicionalmente, la herramienta MSRT (Malicious Software Removal Tool) está siendo actualizada para poder limpiar nuevas familias de malware:

•	Waledac
•	Conficker (incluido Conficker.D)
•	Corripio
•	Frethog
•	Lolyda
•	Storark
•	Taterf
•	Tilcun
•	Zuten

En el caso de los usuarios hogareños que necesiten información al respecto, les recomiendo leer:

Resumen de Abril
Boletín MS09-004

Más información para Seguridad en el Hogar visite Microsoft Protect en español.

Cualquier duda no dejen de poner sus comentarios aquí y si tuvieran problemas relacionados con seguridad (virus o boletines de seguridad) no dejen de contactarse con Soporte a través de http://support.microsoft.com/contactus

Gracias, Christian.-

**Esto se publica “como está” sin garantías y no confiere derechos**

Technorati: Microsoft,Seguridad,Boletines,Alertas,linacre,MS09-009,MS09-010,MS09-011,MS09-012,MS09-013,MS09-014,MS09-015,MS09-016,MBSA,Abril,WSUS,Conficker

del.icio.us: Microsoft,Seguridad,Boletines,Alertas,linacre,MS09-009,MS09-010,MS09-011,MS09-012,MS09-013,MS09-014,MS09-015,MS09-016,MBSA,Abril,WSUS,Conficker

Acerca de Conficker.E

linacre — Fri, 10 Apr 2009 21:32:46 GMT

Hola, escribe Christian Linacre,

durante los últimos días hemos visto actividad nuevamente acerca de Conficker. Específicamente, hemos visto reportes de nuevas variantes del gusano Conficker. El Centro de Protección contra el Malware (MMPC) en su investigación determinó que solamente se trata de una nueva variante conocida como Conficker.E.

Más allá de la existencia de una nueva versión, lo importante es saber si las firmas de antivirus disponibles son capaces de limpiar esta versión. Las firmas disponibles para la versión Conficker.A son también efectivas para limpiar Conficker.E. Por otro lado, la otra supuesta versión es simplemente una pequeña modificación de la versión conocida como Conficker.D y las firmas disponibles para limpiar esta versión también limpian esta versión ligeramente modificada.

El detalle de la información de Conficker.E está como siempre disponible en nuestra enciclopedia de malware, pero además el Centro de Protección contra el malware ha publicado un análisis detallado aquí. En resumen, esta variante usa métodos de propagación usados por Conficker.B, es decir, trata de explotar la vulnerabilidad corregida en el boletín MS08-067, ataca las contraseñas débiles en recursos compartidos administrativos y se distribuye a través de dispositivos removibles como discos USB. Sin embargo, también contiene instrucciones para removerse a sí mismo el Domingo 3 de Mayo de 2009.

Las recomendaciones entregadas siguen siendo las mismas entregadas anteriormente y nuestras soluciones de antimalware son capaces de detectar esta variante. Esto incluye Windows Live OneCare, los productos Forefront y la versión gratuita del examen de seguridad de Windows Live. Más detalles dependiendo su perfil pueden encontrarse en los siguientes sitios:

Profesionales de IT: www.microsoft.com/conficker

Usuarios en el Hogar: www.microsoft.com/latam/protect/computer/viruses/worms/conficker.mspx

Cualquier persona que crea estar infectado no dude en contactar a Microsoft a través de nuestros canales de soporte: http://support.microsoft.com/contactus

Obviamente, seguimos trabajando con el Conficker Working Group y actualizaremos la información a medida que sea necesario.

Saludos, Christian.-

**Esto se publica “como está” sin garantías y no confiere derechos**

Technorati: Microsoft,linacre,Malware,Conficker,Conficker.E,Seguridad,Antivirus,Noticias

del.icio.us: Profesionales de IT: www.microsoft.com/conficker Usuarios en el Hogar: www.microsoft.com/latam/protect/computer/viruses/worms/conficker.mspx Cualquier persona que crea estar infectado no dude en contactar a Microsoft a través de nuestros canales de soporte: http://support.microsoft.com/contactus

Microsoft libera resultados actualizados del panorama de amenazas en México y Brasil

linacre — Wed, 08 Apr 2009 18:56:32 GMT

Hola, escribe Christian Linacre para contarles que el día de hoy hemos liberado la sexta versión del Reporte de Inteligencia de Seguridad, que consolida la información de seguridad de la segunda mitad del año 2008.

El reporte liberado muestra un aumento significativo en el software de seguridad falso, también llamado rogue software. También muestra que los ataques actualmente van dirigidos a atacar las aplicaciones y usan técnicas de ingeniería social con el fin de engañar a los usuarios.

El software de seguridad falso, rogue, engaña a los usuarios para adquirirlo o bajarlo para ser instalado en los computadores con el fin de estar supuestamente protegido, pero en general provee cero o mínima protección. Las familias de software de seguridad falso más notorias fueron FakeXPA y FakeSecSen que infectaron más de 1.5 millones de computadores en el período. También, la familia Win32/Renos usada para distribuir software de seguridad falso infectó más de 4 millones de computadores.

Este software parece ser válido y oferece protección, por ejemplo, en la imagen pueden ver un “escaner en línea” falso perteneciente a la familia FakeXPA; como pueden ver parece ser un software de seguridad pero no lo es. Por esta razón es importante bajar software de seguridad sólo de sitios de productores de software conocidos.

Tal como mencionaba al comienzo el reporte presenta datos detallados de México y Brazil; en el caso de Brazil es la segunda vez que aparece detallado. Como siempre, el reporte entrega un mapa de calor donde se ven las regiones con mayor tasa de infección medida por CCM (Computers Cleaned per Mil) que es la cantidad de computadores que son limpiados por MSRT de cada mil computadores analizadas. Con esta medición Brazil se encuentra en el tercer lugar de los países con mayores tasas de infección y México en el noveno lugar. El detalle de todos los países analizados está en el reporte y los invito a revisarlo.

En el caso de la tendencia por familias de software malicioso se pueden analizar en la siguiente figura además:

En el caso de Brasil el panorama de amenazas estuvo claramente dominado por el software dañino, que representó el 83.8% de todas las familias de amenazas que fueron retiradas de las computadoras infectadas. La mayoría de las familias consisten en múltiples variantes lanzadas por los atacantes en un esfuerzo por complicar el proceso de detección. Cuatro de las cinco categorías principales de amenazas en Brasil fueron robo de contraseñas y herramientas de monitoreo, cuyo objetivo principal son los usuarios de la banca en línea (sobre todo de bancos locales). Dichas amenazas representaron el 43.7% de todas las familias de amenazas erradicadas de las computadoras infectadas.

En Brasil, los troyanos para robo de contraseñas como Win32/Bancos y Win32/Banker dominaron por un margen amplio, ya que se detectaron en más del 50 por ciento de todas las computadoras brasileñas que fueron desinfectadas en el segundo semestre del 2008. Algunas familias de troyanos comunes no aparecieron en ningún otro país porque algunas amenazas son desarrolladas específicamente para Brasil.

El detalle de las 5 familias más recurrentes en Brazil está en la tabla siguiente:

En el caso de México el panorama de amenazas estuvo claramente dominado por software dañino, que representó el 77% de todas las familias de amenazas que fueron erradicadas de las computadoras infectadas en el segundo semestre del 2008. Durante este tiempo, se identificaron dos principales familias en México, los gusanos representaron el 28.4% de todas las computadoras infectadas. A nivel mundial, los gusanos representaron sólo el 11.3% de todas las familias erradicadas en el segundo semestre del 2008.

La tasa de infección en México disminuyó en relación con las mediciones del año pasado. Sin embargo, aunque 16 de cada mil computadoras fueron limpiadas de malware, se duplicó respecto al 8.4 de cada mil computadoras promedio que fueron limpiadas a nivel mundial.

El detalle de las 5 familias más recurrentes en México está en la tabla siguiente:

Adicionalmente, el reporte muestra que las compañías de software han mejorado la protección de sus sistemas operativos, los delincuentes han cambiado su enfoque hacia la capa de las aplicaciones donde se encuentran la mayoría de las vulnerabilidades reportadas: más del 90 por ciento de las vulnerabilidades descubiertas en el segundo semestre del 2008 afectaron las aplicaciones y los navegadores. El reporte también señala que en Microsoft continuamos progresando en el desarrollo de software seguro y que las versiones más nuevas de su software son más seguras que las anteriores. Hay un análisis entre Windows XP y Windows Vista que recomiendo leer.

A pesar de que la seguridad física pareciera ser un problema no relacionado con esto, el Reporte de Inteligencia de Seguridad de Microsoft mostró que el equipo perdido o robado, no “hackeado”, continúa siendo una de las causas más comunes de las violaciones a la seguridad, mismas que resultaron en la pérdida de datos reportada públicamente en el segundo semestre del 2008 —el 50 por ciento de los incidentes reportados—. Para mitigar esta amenaza, las empresas deben implementar prácticas sólidas de gobernabilidad de datos para ayudar a proteger los datos contra el acceso por parte de los delincuentes.

Obviamente, como dice el título de este blog “Seguridad es un trabajo de todos los días” y además es un trabajo de todos, es decir, de todos quienes trabajamos en la industria de software pero además hacemos un llamado a la industria de tecnología, a las agencias policiacas y a los legisladores para continuar trabajando juntos en el desarrollo de nuevas maneras de detener a los delincuentes cibernéticos y proteger a la gente que utiliza el Internet. En Microsoft seguiremos colaborando con otros para fortalecer su visión de confianza de punta a punta, en un Internet más seguro y confiable, lo cual requerirá la colaboración de toda la industria, así como de innovaciones tecnológicas que se alineen con las fuerzas sociales, económicas y políticas.

Como siempre hacemos recomendaciones a los usuarios y empresas para estar más seguros y mantenerse protegidos:

Configure su computadora para utilizar Microsoft Update en lugar de Windows Update. Esto garantiza que usted recibirá las actualizaciones de seguridad para Microsoft Office y otras aplicaciones Microsoft, además de actualizaciones de seguridad para los sistemas operativos Microsoft Windows. Para más información sobre cómo hacerlo, visite http://support.microsoft.com/kb/311047.
Asegúrese de que las actualizaciones también estén activadas para las aplicaciones de terceros, en caso de ser posible.
Utilice un producto contra software dañino que provenga de una fuente conocida y confiable, y manténgalo actualizado. Tenga cuidado de no caer víctima de los anuncios que ofrecen software de protección desconocido (“software de seguridad malintencionado”).
Evite abrir archivos anexos o pulsar en los enlaces a documentos contenidos en el correo electrónico o los mensajes instantáneos que reciba de manera inesperado o que provengan de una fuente desconocida.
Los clientes empresariales deben asegurarse de contar con políticas vigentes para proteger los archivos y regular el uso de dispositivos de almacenamiento extraíbles.
Los clientes empresariales deben utilizar Microsoft Security Assessment Tool (MSAT) – disponible en español – para detectar las debilidades en sus ambientes de seguridad de TI y diseñar un plan para mitigar los riesgos.
Los clientes empresariales deben controlar el uso de software de administración remota.
Para más ayuda y guías detalladas sobre cómo proteger su ambiente de computación residencial, visite el sitio de Seguridad en el Hogar en http://www.microsoft.com/latam/protect.

Para obtener una lista completa de las guías de Microsoft, descargar una copia del reporte SIRv6 y obtener un resumen del mismo en español, visite http://www.microsoft.com/sir.

Saludos, Christian.-

Technorati: Microsoft,linacre,Reportes,Noticias,SIR,Security Intelligence Report,Malware,Software Malicioso,Brasil,Mexico,Actualizaciones de Seguridad,Reporte de Inteligencia de Seguridad

del.icio.us: Microsoft,linacre,Reportes,Noticias,SIR,Security Intelligence Report,Malware,Software Malicioso,Brasil,Mexico,Actualizaciones de Seguridad,Reporte de Inteligencia de Seguridad

Nueva variante de Conficker

linacre — Tue, 24 Feb 2009 01:08:21 GMT

Hola, escribe Christian Linacre para comentar las últimas noticias del gusano Conficker, también conocido como Downadup.

Nuestras investigaciones han encontrado una nueva variante del gusano llamada Conficker.C, también conocida como Conficker.B++. Esta nueva variante utiliza un nuevo mecanismo para perpetrar el ataque, el detalle del mismo puede ser leído en el blog del Centro de Protección contra el Malware de Microsoft.

Nuestras recomendaciones siguen siendo las mismas anteriormente descritas e informamos que nuestras soluciones de antimalware son capaces de detectar esta nueva variantes al utilizar las nuevas definiciones disponibles a partir de la versión 1.51.856.0. Esto incluye Windows Live One Care, los productos Forefront y la versión gratuita del examen de seguridad de Windows Live.

Si Ud. cree que pueda estar infectado con este gusano, contacte a Microsoft en http://support.microsoft.com/contactus

Saludos, Christian.-

**Esto se publica “como está” sin garantías y no confiere derechos**

Technorati: Microsoft,Seguridad,Alertas,Malware,Conficker,Downadup,Noticias,Forefront

del.icio.us: Microsoft,Seguridad,Alertas,Malware,Conficker,Downadup,Noticias,Forefront

Actualización sobre actividad de Conficker

linacre — Thu, 19 Feb 2009 03:03:03 GMT

Hola, escribe Christian Linacre para dar una actualización acerca del gusano Conficker, tanto de lo que ha pasado en la industria como las noticias de la industria.

Primero, hace unos días se hizo público el trabajo entre Microsoft y socios de la industria y del ámbito académico.

Segundo, hemos entregado información de nuestra investigación a nuestros socios en Microsoft Active Protections Program (MAPP) y Microsoft Security Response Alliance (MSRA) y está publicado en el blog de MSRC en un esfuerzo por ayudar a los clientes y otros invetigadores.

Finalmente, hemos anunciado una recompensa de US$250.000 por información que lleve al arresto y convicción de los responsables de haber liberado ilegalmente el gusano Conficker. Personas que tengan información acerca del gusano Conficker son invitados a contactar a sus agencias de protección de la ley en sus países. Adicionalmente, Microsoft ha implementado una línea telefónica para las Recompensas de Antivirus: +1(425) 706-1111 y una casilla de correo de Recompensas de Antivirus: avreward@microsoft.com donde puede ser comunicada la información que tengan.

El trabajo que hemos hecho con la industria, los socios académicos y la información adicional que hemos provisto estan relacionado con el mismo punto: detener los intentos del gusano Conficker de conectarse a dominios en Internet después de atacar un sistema. Al entender el algoritmo que el gusano Conficker usa para realizar los intentos de conexión, podemos tomar los pasos para detener el gusano bloqueando el acceso a esos dominios por sistemas infectados.

Hemos trabajado con ICANN y operadores en el sistema de administración de nombres de Internet para proactivamente deshabilitar un número significativo de sistemas a los cuales sistemas infectados con Conficker tratarían de conectarse.

Adicionalmente, hemos puesto a disposición de los investigadores y los clientes la lista de los nombres de dominio para que puedan revisar archivos de logs e identificar sistemas infectados conectándose a esos dominios y proactivamente bloquear el acceso a esos dominios.

Este es un nuevo enfoque de respuesta proactiva a amenazas cambiantes, que requieren de una respuesta diferente.

Saludos, Christian.-

**Esto se publica “como está” sin garantías y no confiere derechos**

Technorati: Microsoft,Seguridad,Alertas,Conficker,Noticias,Tendencias,ICANN,Malware

del.icio.us: Microsoft,Seguridad,Alertas,Conficker,Noticias,Tendencias,ICANN,Malware

Mala interpretación sobre Conficker en los medios

linacre — Wed, 28 Jan 2009 00:14:46 GMT

Hola, escribe Christian Linacre para darles las últimas noticias respecto del gusano Conficker.

Microsoft desmiente que haya sugerido a los usuarios de Windows afectados por el gusano Conficker o Downadup la reinstalación del sistema operativo, como se ha malinterpretado en algunos medios de comunicación.

Microsoft hace un llamado a todos los usuarios para que de inmediato apliquen la actualización que se encuentra en el boletín MS08-067 (liberado el 23 de Octubre pasado), además de continuar con la disciplina de Proteger su PC y mantenerse informados sobre las actualizaciones que se van generando y promoviendo oportunamente. De esta forma se evitará que los equipos sean afectados.

Nuestras recomendaciones siguen siendo las mismas entregadas en este blog, entre las que se incluyen:

Busque e instale las actualizaciones de software en forma continua, incluyendo las actualizaciones proporcionadas para las aplicaciones de terceros. www.microsoft.com/latam/seguridad/ .
Active el firewall.
Instale y mantenga actualizados sus programas antivirus y antispyware para estar mejor protegido contra el software malicioso e indeseable.
Sea precavido al abrir los vínculos y archivos adjuntos en el correo electrónico y los mensajes instantáneos, incluso si provienen de una fuente conocida o confiable.
Para mantener protegido su computador visite: www.microsoft.com/latam/seguridad.
Verifique que sus contraseñas sean robustas.

En caso de requerir mayor información o asesoría sobre el tema ingrese al sitio: http://safety.live.com. O contacte a Microsoft al Centro de Soporte y Ayuda: http://support.microsoft.com/contactus.

Cualquier comentario al respecto es bienvenido.

Saludos, Christian.-

Technorati: Microsoft,Seguridad,Conficker,Downadup,Windows,Noticias,Malware,Tendencias,Infección

del.icio.us: Microsoft,Seguridad,Conficker,Downadup,Windows,Noticias,Malware,Tendencias,Infección

Actualización en la Información sobre Conficker

rarbelaez — Sat, 24 Jan 2009 00:26:00 GMT

Hola, les escribe Roberto Arbeláez.

En respuesta a las continuas preguntas de clientes sobre cómo protegerse y defenderse contra el gusano Conficker, el Centro de Protección contra Software Malicioso de Microsoft (Microsoft Malware Protection Center) ha publicado una nueva entrada en su blog de Investigación y Respuesta a Amenazas en el que centraliza toda la información de guianza que sobre este tema tiene Microsoft:

http://blogs.technet.com/mmpc/archive/2009/01/22/centralized-information-about-the-conficker-worm.aspx

Continuamos pidiendo a nuestros clientes que implanten la actualización de seguridad asociada al boletín de seguridad MS08-067 tan pronto como sea posible. También les pedimos que implementen medidas de defensa en profundidad basadas en la información provista en el Blog del Centro de Protección contra Software Malicioso de Microsoft (Microsoft Malware Protection Center).

Continuaremos monitoreando la situación a través de nuestro Proceso de Respuesta a Incidentes de Seguridad de Software (Software Security Incident Response Process –SSIRP-) y estamos trabajando de manera activa con nuestros socios del Programa de Protección Activa de Microsoft (Microsoft Active Protections Program –MAPP-) y de la Alianza de Respuesta de Seguridad de Microsoft (Microsoft Security Response Alliance –MSRA-) para hacer frente a esta amenaza.

Boletin de Seguridad MS08-067:

http://www.microsoft.com/latam/technet/seguridad/boletines/2008/ms08-067.mspx

Blog del MMPC con la información centralizada de Conficker:

http://blogs.technet.com/mmpc/archive/2009/01/22/centralized-information-about-the-conficker-worm.aspx

Technorati Tags: Microsoft,virus,gusano,worm,Conficker.B

del.icio.us Tags: Microsoft,virus,gusano,worm,Conficker,Conficker.B

**Esto se publica “como está” sin garantías y no confiere derechos**

Boletines de Seguridad de Enero

linacre — Tue, 13 Jan 2009 23:01:16 GMT

Hola a todos,

escribe Christian Linacre para informarles acerca del boletín de Seguridad de Enero de 2009.

Este mes estamos liberando cuatro boletines, dos de ellos categorizados con severidad máxima de Crítica y dos de ellos Importante.

MS09-001 (Crítico): Vulnerabilidades en SMB podrían permitir la ejecución remota de código (958687). Detalles en: http://www.microsoft.com/latam/technet/seguridad/boletines/2009/ms09-001.mspx

Detección con MBSA (Microsoft Baseline Security Analyzer)
Implementación con WSUS (Windows Server Update Services)

Adicionalmente, la herramienta MSRT (Malicious Software Removal Tool) está siendo actualizada para poder limpiar nuevas familias de malware:

Banload
Conficker

Adicionalmente, para más información respecto de infecciones con Conficker les recomiendo leer las siguientes recomendaciones.

En el caso de los usuarios hogareños que necesiten información al respecto, les recomiendo leer:

Resumen de Enero
Boletín MS09-001

Más información para Seguridad en el Hogar visite Microsoft Protect en español.

Cualquier duda no dejen de poner sus comentarios aquí.

Gracias, Christian.-

**Esto se publica “como está” sin garantías y no confiere derechos**

Technorati: Microsoft,Boletines,Alertas,Noticias,linacre,MS09-001,Conficker,Banload,MSRT,WSUS,MBSA,Seguridad,Enero

del.icio.us: Microsoft,Boletines,Alertas,Noticias,linacre,MS09-001,Conficker,Banload,MSRT,WSUS,MBSA,Seguridad,Enero

Nuevo brote de Conficker

linacre — Wed, 31 Dec 2008 00:51:27 GMT

Hola, escribe Christian Linacre

para contarles que hemos descubierto un nuevo brote del gusano llamado Conficker, con una variación conocida como Conficker.B. Este gusano usa una vulnerabilidad que corregimos en Octubre con el boletín MS08-067. Esto significa que todos los clientes que hayan instalado correctamente esa actualización están fuera de peligro.

Este gusano puede infectar computadores en un red explotando la vulnerabilidad en Windows Server Services (SVCHOST.EXE) y, si la vulnerabilidad es exitosamente explotada podría permitir ejecución remota de código cuando la compartición de archivos está habilitada. Este malware deshabilita importantes servicios de sistema y productos de seguridad.

Ahora como saber si su sistema está infectado con este software malicioso. Los síntomas están descritos en la definición de Conficker.B en el Centro de Protección contra el Malware de Microsoft, pero en resumen:

Detiene y deshabilita los servicios

Windows Update Service
Background Intelligent Transfer Service
Windows Defender
Windows Error Reporting Services
Windows Vista TCP/IP auto-tuning (en el caso de Windows Vista)

El malware se instala e inicia servicios aleatoriamente bajo svchost.exe con referencia a una DLL que es el malware en si
Reinicia los puntos de restauración del sistema
Baja archivos arbitrarios de sitios desconocidos

Para prevenir ser infectados recomendamos:

Busque e instale las actualizaciones de software en forma continua, incluyendo las actualizaciones proporcionadas para las aplicaciones de terceros. Para software Microsoft utilice Windows Update
Active el firewall.
Instale y mantenga actualizados sus programas antivirus y antispyware para estar mejor protegido contra el software malicioso e indeseable.
Sea precavido al abrir los vínculos y archivos adjuntos en el correo electrónico y los mensajes instantáneos, incluso si provienen de una fuente conocida o confiable.
Para mantener protegido su computador visite: www.microsoft.com/latam/seguridad, Para revisar información relacionada siga visitando este blog.

Si usted cree que ha sido infectado no recomendamos la remoción manual sino que utilizando Windows Live Examen de Seguridad, que les permite realizar un Examen completo y gratuito, o contacte a Microsoft.

Adicionalmente, los productos de seguridad de Microsoft ya tienen la vacuna para este gusano. Requiere tener instalado la firma 1.49.1167.0 o posterior. Esto es válido para:

Forefront Client Security
Windows Live OneCare
Windows Live Safety Scanner (gratis)

Saludos, Christian.-

**Esto se publica “como está” sin garantías y no confiere derechos**

Technorati: Microsoft,Seguridad,Alertas,Actualizaciones,MS08-067,Boletines,Malware,Noticias,Reportes,Conficker,Conficker.B,Gusano

del.icio.us: Microsoft,Seguridad,Alertas,Actualizaciones,MS08-067,Boletines,Malware,Noticias,Reportes,Conficker,Conficker.B,Gusano

Noticias sobre MS08-067 y posibles explotaciones

linacre — Wed, 26 Nov 2008 00:36:00 GMT

Hola a todos,

escribe Christian Linacre para dar un actualización sobre el boletin de seguridad MS08-067. El día de hoy hemos recibido reportes de infecciones con un gusano recién descubierto llamado Conficker.A que podría afectar a sistemas que no hayan sido actualizados. Adicionalmente, existe un troyano llamado Win32/IRCbot.BH.

Como estaba indicado en el boletín original esta vulnerabilidad afecta de manera crítica a sistemas Windows 2000, XP y 2003. Si la vulnerabilidad es explotada exitosamente, un externo puede tomar control del equipo cuando se habilite el modo de compartir archivos. Este gusano afecta de manera menor a Windows Vista y Windows Server 2008, y todas sus ediciones soportadas.

Como saben y como parte de nuestro compromiso con la seguridad, hemos liberado la actualización de seguridad para corregir esta vulnerabilidad el día 23 de Octubre. Si aún no la ha instalado, recomendamos instalarla a la brevedad siguiendo las instrucciones descritas en el boletín MS08-067.

Si usted cree que ha sido infectado no recomendamos la remoción manual sino que utilizando Windows Live OneCare Examen de Seguridad, que les permite realizar un Examen completo y gratuito.

Como siempre las recomendaciones no cambian:

Busque e instale las actualizaciones de software en forma continua, incluyendo las actualizaciones proporcionadas para las aplicaciones de terceros.
Active el firewall.
Instale y mantenga actualizados sus programas antivirus y antispyware para estar mejor protegido contra el software malicioso e indeseable.
Sea precavido al abrir los vínculos y archivos adjuntos en el correo electrónico y los mensajes instantáneos, incluso si provienen de una fuente conocida o confiable.
Para mantener protegido su computador visite: www.microsoft.com/latam/seguridad, Para revisar información relacionada siga visitando este blog.

Ahora revisemos algunos detalles técnicos de este malware en particular.

La descripción completa puede ser encontrada en la Enciclopedia del Centro de Protección contra el Malware de Microsoft, buscando por Conficker.A y Win32/IRCbot.BH. Particularmente el gusano tiene las siguientes características:

Afecta: al sistema explotando una vulnerabilidad en el servicio SVCHOST
Se instala: buscando el ejecutable services.exe y crea .dll aleatorios en la carpeta de sistema
Se contagia: a través de computadores conectados a la red que no tengan la actualización para la vulnerabilidad
Provoca:
- Crea un servidor HTTP
- Puede borrar los puntos de restauración
- Baja archivos desde direcciones externas

Para prevenirlo siga las recomendaciones de más arriba y si cree que que está infectado use el servicio de Windows Live OneCare Examen de Seguridad o contacte a Microsoft.

Saludos, Christian.-

**Esto se publica “como está” sin garantías y no confiere derechos**

Technorati: Actualizaciones de Seguridad,Boletines,Alertas,Seguridad,MS08-067,Conficker,Worm,Conficker.A,Gusano,Noticias,Reportes,Malware

del.icio.us: Actualizaciones de Seguridad,Boletines,Alertas,Seguridad,MS08-067,Conficker,Worm,Conficker.A,Gusano,Noticias,Reportes,Malware