Logotipo de GuanaWeb

 

ALERTA VIRUS

 

Página Principal

Noticias

Boletín Electrónico de CubaSí.cu

En los siguientes sitios encontraras actualizaciones de patrones de antivirus

 

 windows vista

AVIRA ANTIVIRUS

La empresa alemana Avira GmbH ofrece un antivirus de escritorio gratuito para fines personales. Incluye escudo residente, detección de virus de macro y asistente de actualización. Disponible en Inglés y en Alemán.
Plataformas: Windows /2000/NT/XP/Vista/Windows7


Descargar AVIRA PE v10 Inglés Gratis (29.5 MB) (Nuevo)
Actualización de Base, fecha 23 Julio, 2010 (26 MB)
Servidor Infomed Descargar actualización superior a v9.014

 

 

SEGURMÁTICA Antivirus

 

Actualizaciones de las Bases de Antivirus para las versiones de Segurmática Antivirus y para el Segurmatica Antivirus Edición Kaspersky v-1.1.


Descargar Actualización Segurmática Antivirus Julio 23, 2010 (Desde ftp Infomed)

 

HERRAMIENTAS

 Diccionario Informático

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


 

 

 

 

No esperes, para luego es tarde.

 

 

 

 

 

 

 

Alertan sobre un nuevo virus informático


23-07-2010

Programa Maligno Stuxnet

Desde la segunda semana de julio se encuentra circulando en nuestro país un nuevo programa maligno, conocido por la mayoría de los fabricantes de AV como Stuxnet. Existen evidencias indirectas de que se encuentra circulando en redes globales al menos desde marzo, a partir de reportes de sus efectos en diferentes fórums. Este programa maligno tiene varias características interesantes:

1. Se transmite a través de memorias flash pero sin usar autorun.inf.

2. Se instala como drivers que se activan cuando inicia el sistema.

3. Sus ficheros principales están firmados digitalemente.

4. Tiene actividad de rootkit.

Para transmitirse usando memorias flash explota una vulnerabilidad desconocida hasta ese momento, que causa que el Windows ejecute enlaces presentes en ficheros de tipo lnk malformados. En el caso de este programa maligno se trata de un fichero con formato correspondiente a una applet del panel de control (extensión cpl). La vulnerabilidad se explota cuando el sistema operativo trata de mostrar el icono correspondiente al enlace dentro del fichero lnk.

Una vez ejecutado el programa maligno, este instala 2 drivers que no necesitan reiniciar para comenzar su trabajo. Simultaneamente se crean 2 ficheros con contenido cifrado que contienen la funcionalidad real del programa maligno. Uno de los drivers es responsable de ocultar los ficheros malignos de las aplicaciones del sistema operativo, por ejemplo, el explorer. El otro driver inyecta código en los procesos del sistema svchost.exe y services.exe, por lo que no existe ningún nuevo proceso creado por este programa maligno.

Es interesante que los drivers están firmados digitalmente con un certificado de la compañía Realtek. Esto significa que el autor del programa maligno tuvo acceso a la llave privada de este certificado, un secreto supuestamente muy bien guardado. Es interesante también que la fecha de la firma digital es de enero del 2010, lo que significa que estos drivers están listos desde esa fecha. El certificado expiro el 6/6/2010, 5 meses después de usarse para la firma del programa maligno. Adicionalmente fue revocado por Verisign ante la actividad maligna demostrada.

Los ficheros de este programa maligno contienen cadenas que hacen pensar que esta diseñado para conectarse a sistemas SCADA de la empresa SIEMENS, no queda claro con que fin. La funcionalidad completa del programa maligno todavía no ha sido estudiada. El driver que oculta los ficheros tiene errores que hace que dejen de funcionar algunos otros drivers, por ejemplo, el que instala Rational Clearcase. Los fallos en aplicaciones que usen drivers como filtros para sistemas de archivo y/o svchost.exe pueden ser síntomas de infecciones con este programa maligno, que por demás pasa completamente inadvertido.

Segurmatica Antivirus detecta y descontamina esta amenaza desde el 13/7/2010.

Datos técnicos:

Llaves principales del registro creadas:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MRxCls

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MRxNet

Ficheros creados en el sistema:

%SystemRoot%\inf\oem6c.pnf

%SystemRoot%\inf\oem7a.pnf

%SystemRoot%\inf\mdmcpq3.pnf

%SystemRoot%\inf\mdmeric3.pnf

%SystemRoot%\System32\drivers\mrxnet.sys

%SystemRoot%\System32\drivers\ mrxcls.sys

Ficheros creados en la raíz de una memoria flash al infectarla:

Copy of Copy of Copy of Copy of Shortcut to.lnk

Copy of Copy of Copy of Shortcut to.lnk

Copy of Copy of Shortcut to.lnk

Copy of Shortcut to.lnk

~WTR4132.tmp

~WTR4141.tmp


Información sobre un nuevo programa maligno VBS.SETCH.

Se ha reportado al Laboratorio de Segurmatica un nuevo programa maligno cubano, escrito en Visual Basic Script que tiene la característica de que es polimórfico, por lo que el tamaño del archivo componente principal varia de una propagación a otra, aunque está en el rango de los 33 kbytes. El VBS.SETCH, modifica las llaves en el registro con el fin de ejecutarse, ocultarse y desactivar productos antivirus como Segurmatica Antivirus, NOD32 y KAV.
También desactiva el servicio spooler, afectando la posibilidad de impresión

Cuando se ejecuta, crea los siguientes ficheros en el directorio raíz de las unidades lógicas,
incluyendo soportes de almacenamiento móviles como flash y discos externos.

c:\autorun.inf
c:\mkg.vbs (archivo principal)
c:\Nuevos !!!.hta

asi como otros 2 en el directorio sistema y una carpeta creada por el, respectivamente:

c:\WINDOWS\system32\sethc.hta
c:\WINDOWS\system32\config...\setch.vbe

El fichero autorun.inf tiene el siguiente contenido:

[AUTORUN]
shell\open\command=wscript.exe mkg.vbs
shell\explore\command=wscript.exe mkg.vbs

El Segurmatica Antivirus lo detecta y descontamina, no así otros antivirus hasta el momento.


windows vista

 

PARA ENVIAR UNA MUESTRA DE VIRUS

 

  • Comprimirla y proteger el fichero con contraseña
  • En el correo envie la mayor información posible de la muestra enviada y la contraseña para desencriptar el comprimido
  • Proceder a enviar la muestra para su análisis a:
    seguridad@cedisap.sld.cu
  • La Dirección de Informática Notifica la muestra a Segurmática en caso de no estar registrada en el país.

Gracias por remitir su muestra.