A veces ocurre que no se sabe si el producto antimalware que se ha instalado en un equipo posee las últimas definiciones desplegadas por el fabricante. O, en otro caso, es necesario conocer los cambios que introducido en esa última definición, como, por ejemplo, el nuevo malware detectado y su nivel de peligrosidad.

Para todas estas acciones, y algunas más, Microsoft posee el Centro de Protección contra Malware. Desde esta página es posible ver cual es la última versión de las definiciones antimalware enviada a los clientes, tanto para todos los productos de la familia Forefront, para Microsoft Security Essentials, Windows Intune o Windows Defender, de modo que es posible revisar si es la que se posee instalada.


Figura 1: Información sobre versión de definiciones

Ya con esa información es posible realizar una comparativa para revisar los cambios que se han llevado a cabo respecto a la versión anterior de definiciones. Para ello, únicamente es necesario hacer clic sobre el log de cambios de las definiciones antimalware o sobre el log de cambios de las definiciones Antispyware, donde se mostraran los cambios acaecidos.

A su vez, Microsoft da la opción de poder realizar la descarga manual de esas definiciones para realizar una implementación en aquellos equipos los cuales no poseen salida a internet para poder actualizarse.


Figura 2: Descarga manual de definiciones

Tal y como se puede apreciar, aparece la descarga tanto para 32 como 64 bits, y, en el caso de Microsoft Forefront, incluso para Network Inspector System NIS. Una vez se tenga decidido cuál es la descarga a realizar, únicamente es necesario cliquear sobre el enlace correspondiente, descargar y proceder a ejecutar el archivo.

Finalizada la instalacion, el equipo poseerá las últimas definiciones instaladas. Con lo cual, ante cualquier duda respecto a las definiciones que posea el equipo, o ante la necesidad de descargar de forma manual la última actualización, lo mejor es acceder al Centro de Protección contra Malware de Microsoft.
 

Microsoft publica trimestralmente el Security Intelligence Report, un informe que plasma toda la información recogida por los equipos de seguridad de Microsoft referente al estado del malware, el spam, la situación y las tendencias de la industria del software y las tendencias en amenazas. En este post de hoy queremos centrarnos en las gráficas que hacen referencia directa al malware.

El año pasado los productos antimalware de escritorio, es decir, Microsoft Security Essentials, Maliciuous Removal Tool y Microsoft Forefront Client Security (aquellos conectados a la red SpyNET) reportaron más de 80 millones de malware detectado y limpiado en los equipos. Llama poderosamente la atención como España es el quinto país del mundo en el que más malware se descubrió.


Figura 1: Datos de malware detectado en cada semestre por país

Los sistemas operativos más modernos, es decir, Windows Vista Service Pack 2 y Windows 7 son en los que menos malware se ha descubierto.


Figura 2: Datos de infecciones limpiadas por familias

Casi todas las familias de malware han sufrido un gran incremento durante los últimos seis meses.


Figura 3: Datos comparativos de familias de malware por semestre

Duranteo el año pasado se han limpiado más de 13 millones de falsos antivirus que es una cantidad descomunal.


Figura 4: 13 millones de Fake AV simulando ser AV auténticos

Por último, llama poderosamente la atención, como no hay una gran diferencia entre equipos en dominios y equipos no gestionados en dominio.


Figura 5: Tipos de amenazas por pertenencia o no a dominios

Puedes descargar los informes en formato PDF y XPS en versiones reducidas o detalladas desde la siguiente URL:

- Security Intelligence Report [SIR] 8
 

Los dos problemas típicos a los que se enfrenta cualquier motor antimwalware son:

1.- Detectar todo el malware existente en un sistema.
2.- No detectar ningún fichero legítimo como malware, es decir, no tener errores de Falsos Positivos.

Estas características son medidas siempre en todos los tests y pruebas de detección que utilizan las empresas que se dedican a certificar o premiar el funcionamiento de las soluciones antimalware/antispam.

Lógicamente, para conseguir solucionar el problema 1, es decir, detectar todo el malware existente en un sistema, los motores antimalware necesitan analizar las muestras de malware, por lo que el primer paso consiste en obtener esas muestras. Para ello el equipo de Microsoft trabaja en varios frentes que van desde la creación de Honney Pots y Honney Nets al rededor del mundo para recibir muestras de ataque, la suscripción a sistemas de trabajo colaborativo con otros laboratorios en la detección de muestras, como en Virus-Total, la recolección de muestras por medio de los miembros de la red Microsoft SpyNet o el reporte directo a través de Internet.

En todos los casos el objetivo es recoger muestras de malware, pero también la detección de los Falsos Positivos. Así, si una herramienta de Microsoft ha detectado un fichero legítimo como una muestra malware, es importante avisar a Microsoft para que corriga la firma que fue origen de la detección erronea. Con este objetivo Microsoft tiene abierto, en el Malware Protection Center, una página web en la que se puede reportar un malware o un falso postivo. Además, es conveniente reportar que herramienta es la que detecto ese falso postivo. En el ejemplo de abajo se puede ver como nuestro compañero Chema Alonso está reportando un supuesto falso postivo de una herramienta.


Reporte de un supuesto falso positivo de Microsoft Security Essentials

Si tienes alguno de estos dos problemas con un producto de tecnología Forefront no dudes en reportarlo en la siguiente URL: Envío de muestras de malware y falsos positivos a Microsof
 

Ya se habló hace algunos días sobre el Falso antivirus que simula ser Windows Security Essentials. Los falsos antivirus son programas que se instalan en las maquinas de los usuarios haciendose pasar por antivirus reales para, una vez instalados, comportarse como un troyano que controla la máquina o como un programa mafioso que, mediante el secuestro de archivos, vende actualizaciones para limpiar el supuesto virus y recuperarlos.

Los trucos que suelen utilizar para colarse se basan en técnicas de ingeniería social. Se aprovechan de usuarios no formados que pasan por una de las webs contaminadas para mostrarles páginas que simulan ser cuadros de dialogo del sistema operativo. El usuario, si no está formado adecuadametne y acepta la actualización de la supuesta firma o la actualización del software o la instalación del antivirus, queda infectado.

Recientemente se ha extendido un falso antivirus que simular ser el una herramienta de Windows 7. Así, cuando el usuario entra en la página web, aparece un popup que trata de parecerse a los mensajes del UAC (User Account Control) que ayudan a proteger los permisos de las cuentas de usuario.


Figura 1: Pop-up simulando UAC

Si el usuario hace clic en cualqier opción, se procederá a intentar instalar el archivo en el sistema. Éste, como se puede ver en la siguiente imagen, simular ser parte del sistema Windows, pero realmente es un troyano que ya ha infectado la máquina y que deberá ser limpiado antes de continuar trabajando con la máquina.


Figura 2: Falso Antivirus de Windows 7

Se recomienda tener especial cuidado con los falsos antivirus. En InfoSpyware hay una completa lista de Falsos Antivirus y Antispyware que peude ser consultada para conocer si un supuesto antivirus gratutio es realmente un troyano.

Desde Seguros con Forefront recomendamos la instalación de Security Essentials, que es un antivirus gratuito, totalmente funcional, que lleva el motro de Microsoft Antivirus y que, además, reconoce y previene este tipo de amenazas.

Puede ser descargado desde la siguiente URL: Micrososft Security Essentials
 

============================================================================
- MS Forefront Client Security Agente (I de III)
- MS Forefront Client Security Agente (II de IV)
- MS Forefront Client Security Agente (III de IV)
- MS Forefront Client Security Agente (IV de IV)
============================================================================

Microsoft SpyNET

El último grupo de opciones de configuración es relativo a la red SpyNet de Microsoft. Esta red está creada para la recolección de información de amenazas nuevas. De esta manera, enviando ficheros sospechosos, información de las acciones recomendadas, las acciones tomadas y los resultados, se puede ayudar a Microsoft a hacer una investigación más rápida y eficiente, al mismo tiempo que ellos pueden crear antes las firmas del nuevo malware para ayudar a los clientes a estar protegidos.

Como se puede ver en la imagen, la red SpyNET se autodefine en las opciones explicando su funcionamiento y los dos modos de pertenecia: Usuario básico y Usuario avanzado.



Figura 12: Configuración de pertenencia a SpyNet

Explorador de Software

Una de las herramientas que acompañaban a la versión de Windows Defender que iba instalada de serie en Windows Vista era el Explorador de Software. ESta útil herramienta ayuda a analizar el estado de un equipo a un usuario. Como se puede ver en la Figura 13, la herramienta permite conocer en cada momento cuales los los programas en ejecución, cuales los programas con conexiones de red, cuales están configurados para arrancarse al incio y cuales se han convertido en proveedores de conexiones de red por medio de la librería Winsock. Por supuesto, todas esas vistas de procesos ayudan a un usuario avanzado a detectar comportamientos no deseados por software malicioso que se ejecutan como un proceso del sistema, que se configuran para ser ejecutados en todos los arranques y que abren conexiones, tanto de entrada como de salida.



Figura 13: Explorador de Software

Un ejemplo común, es el de conocer cuáles son los ficheros que se leyeron para ejecutar un determinado proceso y cúal es la opinión de SpyNET al respecto de ese fichero, en el caso de ser sospechoso. En la Figura 14 se puede ver como en el administrador de tareas se recibe muy poca información al respecto de determinados procesos. Así, en el caso de los procesos que hacen uso del interfaz de servicios, suele ser dificil diferenciar que proceso es svchost. En la imagen 14 hay varios procesos corriendo como svchost.


Figura 14: Lista de procesos en ejecución

Para conocer más información sobre ese proceso svchost con identificador de proceso PID 628, se puede utilizar el explorador de software, basta con ir a los procesos en ejecución y buscar aquél con PID 628.


Figura 15: Información detallada de proceso con el Explorador de Software

Como se puede apreciar en la Figura 15, la herramienta muestra la ruta del fichero que se cargó, si es un fichero o no del sistema operativo, la opinión de la comunidad de SpyNet, si se carga o no al inicio y los privilegios de cuenta con que se ejecuta, entre otras propiedades.

============================================================================
- MS Forefront Client Security Agente (I de III)
- MS Forefront Client Security Agente (II de IV)
- MS Forefront Client Security Agente (III de IV)
- MS Forefront Client Security Agente (IV de IV)
============================================================================