============================================================================
- Microsoft Standalone System Sweeper: herramienta de recuperación offline de PC infectados (I de II)
- Microsoft Standalone System Sweeper: herramienta de recuperación offline de PC infectados (II de II)
============================================================================

Resulta que es posible encontrarse ante la tesitura de que, debido a la infección por un malware de un equipo, éste deja de iniciar, con lo que nos encontramos ante la necesidad de, o solucionar de algún modo el desaguisado, o salvaguardar la información del equipo y reinstalar el sistema operativo. Ante la posibilidad de sufrir este problema, desde la empresa de Redmond publican Microsoft Standalone System Sweeper MSSS, herramienta, todavía en beta, creada para poder arrancar un equipo previamente infectado por virus que no es capaz de iniciar y realizar un escaneo offline para solucionar el problema con el sistema. Esta herramienta no está destinada a sustituir una solución completa de antivirus si no como una medida de solución, ya que para esos menesteres ya existe Microsoft Security Essentials.

MSSS consiste en una pequeña descarga, disponible tanto para arquitecturas de 32 como de 64 bits, donde hay que tener en cuenta que se deberá descargar la versión que se ajuste a la arquitectura del equipo a limpiar. Así mismo, es necesario disponer de un CD o DVD virgen, o de un USB con al menos 250 MB libres para crear el dispositivo de arranque para la realización del escaneo, y conexión a internet para la descarga de los datos de la aplicación. De todos modos, es posible crear una ISO para una posterior utilización.


Figura 1: Creación de la imagen de MSSS
Una vez descargada, la utilización de MSSS es extremadamente sencilla, pasando por las ventanas típicas de aceptación de la EULA y únicamente teniendo que seleccionar si se va a realizar la grabación directamente a CD/DVD, utilizar un dispositivo USB o si se prefiere guardar como archivo ISO, caso en el que habrá que indicar donde se quiere guardar el archivo una vez haya sido creado. Tras cumplimentar cada uno de los pasos, comenzará el proceso de descarga.


Figura 2: Progreso de creación

Cuando finalice, ya estará disponible la aplicación para ejecutarse en el equipo que se necesite limpiar de malware. Para ello, basta con insertarlo en la unidad correspondiente, ya sea lector de CD/DVD o USB y esperar a que inicie. En el caso de que no funcione, sería recomendable revisar las opciones de inicio de la BIOS para pasar a indicar que el primer dispositivo de inicio sea aquel en el cual está alojado el MSSS. Es imprescindible que el equipo infectado también tenga conectividad con Internet.


Figura 3: Inicio de la herramienta

============================================================================
- Microsoft Standalone System Sweeper: herramienta de recuperación offline de PC infectados (I de II)
- Microsoft Standalone System Sweeper: herramienta de recuperación offline de PC infectados (II de II)
============================================================================

La empresa OPSWAT, centrada en el uso de meta-entornos antimalware, es decir, en el uso de múltiples soluciones antimalware como una mejor forma de defenderse contra este tipo de amenazas, ha publicado un informe que cubre el segundo trimestre del año 2011 sobre el uso de soluciones antimalware.

El estudio se hizo con más de 43.000 puntos de toma de datos, y en ellos se comprobaba cúales eran las soluciones antimalware utilizadas. Como se puede ver en la siguiente tabla, Microsoft Security Essentials es la solución más utilizada, es decir, en la que más confían los usuarios de sistemas Microsoft Windows, por delante de AVIRA, AVAST, AVG y ESET.


Lista de antivirus más usados

De todas formas, llama la atención la no existencia de un dominador total en el mundo antimalware, ya que las diferencias entre el primero y los siguientes es bastante pequeña. Puedes descargar el informe desde la siguiente URL: OPWAST June 2011 Report
 

Hace unas semanas nos hacíamos eco de la salida de Microsoft Safety Scanner (MSS), un antimalware de Microsoft para ejecución bajo demanda. Y hace un par de días Microsoft ha dado a conocer, a través de su blog del Centro de Protección contra Malware, las primeras estadísticas relacionadas con esta herramienta, junto a novedades de la herramienta en si, como el soporte para 64 bits y la instalación en equipos que no tengan conectividad de red. Dentro la información que aparece en esas estadísticas, es importante analizar dos puntos:

• La gran aceptación por parte de los usuarios, ya que durante la primera semana se llegaron a contabilizar alrededor de 420.000 descargas, unas 60000 diarias.

• La cantidad de detecciones de malware realizadas, hasta 20000, y eso sin contar aquellos usuarios que decidiesen no enviar ningún tipo de información.

Además, desde Microsoft, con toda la información recopilada sobre las diferentes infecciones encontradas, han pasado a realizar una clasificación con las principales amenazas encontradas. Y es curioso revisar que entre las 10 primeras, 7 de ellas están relacionadas con vulnerabilidades Java que aparecen en expedientes como CVE-2008-5353, CVE-2010-0094, CVE-2010-0840 y CVE-2009-3867.


Figura 1: Principales amenazas detectadas

Esto corrobora lo mostrado por Microsoft en el Microsoft Security Intelligence Report 10 (SIR10), donde se indicaba que la plataforma con mayor número de exploits detectados durante el año 2010 por las herramientas antimalware de la empresa de Redmond había sido Java.


Figura 2: Numero de exploits por plataforma

También se indica en el análisis que la descarga de MSS se produce una vez que el equipo ya ha sido víctima de la vulnerabilidad, y que a partir de ese exploit, el equipo es infectado con otras amenazas. Con lo cual, se recomienda instalar todas las actualizaciones de seguridad e instalar algún software antimalware de Microsoft, como Microsoft Security Esssentials. Es posible descargar MSS desde la siguiente URL: Descargar Microsoft Security Scanner.
 

Haciendo uso de Package it! hemos recogido toda la información que hay publicada en Technet de Forefront Endpoint Protection 2010, en la que es posible encontrar las Guías de Planifiación, de Instalación o de Migración desde Forefront Client Security. No es la versión en Español, debido a que cuenta con más páginas de información, pero más adelante recogeremos la información disponible en español.



Puedes descargar la guía desde: Forefront_Endpoint_Protection_2010.chm (339,92 kb)
 

Microsoft ha publicado el Security Intelligence Report 10 (SIR10), que recoge los datos relativos al Cibercrimen recogidos por los equipos de seguridad de Microsoft. El documento, de 64 páginas que detallan todo lo descubierto en cuanto a malware, spam, tendencias cibercriminales y herramientas utilizadas, puede descargarse en Español. Además, es posible obtener una versión de solo 9 páginas en PDF con las keyfindings.

Entre las cosas que más nos han llamado la atención se encuentran que los sistemas más modernos y en 64 bits se infectan menos, que los troyanos siguen siendo los reyes y que hay mucho falso antivirus.... demasiado. Los falsos Antivirus, o Fake AV / Rogue AV, se han expandido de manera brutal por Internet. Con sencillas preguntas como "¿quieres estar seguro?" consiguen que los usuarios confien en ellos y les den permiso de ejecución en el sistema.


Figura 1: Los troyanos son la peor amenaza

Una vez instalados, utilizan técnicas de secuestro de sistema y archivos, para obligar a los usuarios a pagar por falsas vacunas. Esta técnica se conoce como Ransomware. Para ello utilizan marcas que al usuario le recuerden a antivirus, incluso antivirus conocidos. Aquí hemos hablado de Security Essentials 2010 o del famoso Antivirus de James Bond.

Figura 2: Marcas utilizadas

El caso es que, según los datos relejados por el SIR 10 de Microsoft, se han detectado algo más de 4 millones de equipos infectados con Rogue AV en todo el mundo. Un lucrativo negocio para las mafias.


Figura 3: Número de Rogue AV detectados en este último trimestre