Ya ha pasado algún tiempo desde que hablamos de un malware que suplantaba el proceso de activación de Windows para secuestrar los archivos de los usuarios y pedir un rescate en forma de licencia de Windows. Esto había sido descubierto por el equipo de seguridad de GFI, pero a día de hoy, es fácil descubrir por redes sociales a usuarios que se quejan de su aparición.


Figura 1: Foto a un malware de activación de Windows

Nunca introduzcas tu número de cuenta o tarjeta de crédito en un sitio de estos, ya que lo que menos puede sucederte es que te roben.
 

El pasado 28 de Junio el equipo de Forefront Endpoint Security anunció la disponibilidad del primer Update Rollup para Forefront Enpoint Protection 2010. Este paquete, además de solucionar y aglutinar todos los parches conocidos, incluye tres características principales:



- Soporte para Windows Embedded 7 y Windows Server 2008 Server Core: Con esta nueva actualización es posible instalar clientes de MS FEP 2010 en este tipo de sistemas operativos optimizados, que antes no era posible.

- Actualización de firmas a través de System Center Configuration Manager 2007 Software Update: Con esta actualización es posible que la herrmainta Signature Update Automation Tool de FEP 2010 se sincronice a través del módulo de Software Update de SCCM 2007.

- Nuevas plantillas de servidores: FEP 2010 permite utilizar plantillas para ajustar la configuración del agente en los diferentes servidores de Microsoft, con esta actualización se añaden dos nuevas para servidores Microsoft Forefront Threat Management Gateway 2010 y Microsoft Lync 2010.
 

============================================================================
- Microsoft Safety Scanner en un CD o USB autoarrancable (Parte I)
- Microsoft Safety Scanner en un CD o USB autoarrancable (Parte II)
============================================================================

Creación de un USB autoarrancable

1. Preparar la partición de la unidad USB (en este caso G:\) como activa y formatearla

a. diskpart
b. list disk
c. select disk # (Reemplazar ‘#’ por el número de disco que muestra para el disco USB.)
d. clean
e. create partition primary
f. select partition 1
g. active
h. format quick fs=fat32
i. assign
j. exit

2. Copiar los datos de la ISO al USB

xcopy c:\img\iso\*.* /e g:\

Ejecución desde medio autoarrancable

Ahora se podrá utilizar cualquiera de los dos medios creados para arrancar mediante Windows PE y ejecutar Microsoft Security Scanner en el sistema off-line. Desde el mismo se tendrán que aceptar los términos de licencia y el tipo de análisis a ejecutar.


Figura 3: Ejecución de MS Security Scanner desde Windows PE paso 1


Figura 4: Ejecución de MS Security Scanner desde Windows PE paso 2


Figura 5: Ejecución de MS Security Scanner desde Windows PE paso 3

============================================================================
- Microsoft Safety Scanner en un CD o USB autoarrancable (Parte I)
- Microsoft Safety Scanner en un CD o USB autoarrancable (Parte II)
============================================================================

============================================================================
- Microsoft Safety Scanner en un CD o USB autoarrancable (Parte I)
- Microsoft Safety Scanner en un CD o USB autoarrancable (Parte II)
============================================================================

En una entrada anterior se comentó la herramienta Microsoft Safety Scanner, en el post de hoy se verá la configuración necesaria para crear una imagen autoarrancable, ya sea mediante el uso de un CD o un USB, con Windows PE y Microsoft Safety Scanner. De esta manera se podrá ejecutar la herramienta con el sistema operativo off-line.

Para ello lo primero que se necesita es la herramienta que contiene Windows PE 3.0, Windows AIK, y el propio Microsoft Safety Scanner (ambos en versión de 32 bits, que es el entorno de Windows PE).

Construcción de la imagen de arranque

Una vez descargadas las aplicaciones se debe construir la imagen de arranque mediante Windows AIK, desde la línea de comandos de las herramientas de implementación siguiendo los siguientes pasos:

1. copype.cmd x86 c:\img

2. dism /mount-wim /wimfile:c:\img\winpe.wim /index:1 /mountdir:c:\img\mount

3. dism /image:c:\img\mount /set-scratchspace:512
Nota: Se debe ampliar el espacio temporal del disco para que funcione MS Safety Scanner en el entorno de Windows PE, en este caso 512.

4. copy msert.exe c:\img\mount\windows\system32


Figura 1: Se debe cambiar la ruta de MS Safety Scanner por donde esté descargado o copiarlo mediante Windows Explorer al directorio de la imagen de arranque montada

5. dism /unmount-wim /mountdir:c:\img\mount /commit

6. copy c:\img\winpe.wim c:\img\iso\sources\boot.wim

Una vez creada la imagen de Windows PE con Microsoft Safety Scanner se debe elegir el método de arranque, CD o USB, dependiendo de la elección se deberán realizar los diferentes pasos que se muestran a continuación.

Creación de un CD autoarrancable

1. Creación de una imagen ISO:


Figura 2:oscdimg -n -bc:\img\etfsboot.com c:\img\iso c:\img\img.iso

2. Grabación de la imagen ISO a un CD

============================================================================
- Microsoft Safety Scanner en un CD o USB autoarrancable (Parte I)
- Microsoft Safety Scanner en un CD o USB autoarrancable (Parte II)
============================================================================

============================================================================
- Microsoft Standalone System Sweeper: herramienta de recuperación offline de PC infectados (I de II)
- Microsoft Standalone System Sweeper: herramienta de recuperación offline de PC infectados (II de II)
============================================================================

Una vez que se inicie la herramienta aparecerá la ventana principal de análisis, desde la que es posible seleccionar el tipo de escaneo a realizar entre rápido, completo y personalizado. A simple vista, es posible detectar que la interfaz de MSSS es exactamente igual a la de Windows Defender o MS Security Essentials.


Figura 4: Interfaz de MSSS

A la finalización del escaneo, aparecerá la información de la cantidad de elementos analizados y de malware detectado.


Figura 5: Detección de malware

En el caso de que el equipo estuviese infectado, MSSS detectaría la infección y mostraría una imagen como la que se muestra más arriba, indicándonos la cantidad de detecciones y el nivel de severidad, tras lo cual únicamente sería necesario hacer clic sobre el botón Clean System para proceder a su limpieza.

La ultima de la cuestión a resaltar seria que, para actualizar las definiciones, existen dos posibilidades:

• Haber descargado previamente las nuevas definiciones, tal y como se explicó anteriormente en el artículo sobre cómo realizar la descarga manual de las firmas, y almacenarlas en un dispositivo extraíble cual es posible examinar desde la consola de MSSS.

• Descargar las definiciones directamente desde el Centro de Protección Microsoft


Figura 6: Actualización de definiciones

Es posible descargar la herramienta desde la siguiente URL: Descargar Microsoft Standalone System Sweeper.

============================================================================
- Microsoft Standalone System Sweeper: herramienta de recuperación offline de PC infectados (I de II)
- Microsoft Standalone System Sweeper: herramienta de recuperación offline de PC infectados (II de II)
============================================================================