A veces ocurre que no se sabe si el producto antimalware que se ha instalado en un equipo posee las últimas definiciones desplegadas por el fabricante. O, en otro caso, es necesario conocer los cambios que introducido en esa última definición, como, por ejemplo, el nuevo malware detectado y su nivel de peligrosidad.

Para todas estas acciones, y algunas más, Microsoft posee el Centro de Protección contra Malware. Desde esta página es posible ver cual es la última versión de las definiciones antimalware enviada a los clientes, tanto para todos los productos de la familia Forefront, para Microsoft Security Essentials, Windows Intune o Windows Defender, de modo que es posible revisar si es la que se posee instalada.


Figura 1: Información sobre versión de definiciones

Ya con esa información es posible realizar una comparativa para revisar los cambios que se han llevado a cabo respecto a la versión anterior de definiciones. Para ello, únicamente es necesario hacer clic sobre el log de cambios de las definiciones antimalware o sobre el log de cambios de las definiciones Antispyware, donde se mostraran los cambios acaecidos.

A su vez, Microsoft da la opción de poder realizar la descarga manual de esas definiciones para realizar una implementación en aquellos equipos los cuales no poseen salida a internet para poder actualizarse.


Figura 2: Descarga manual de definiciones

Tal y como se puede apreciar, aparece la descarga tanto para 32 como 64 bits, y, en el caso de Microsoft Forefront, incluso para Network Inspector System NIS. Una vez se tenga decidido cuál es la descarga a realizar, únicamente es necesario cliquear sobre el enlace correspondiente, descargar y proceder a ejecutar el archivo.

Finalizada la instalacion, el equipo poseerá las últimas definiciones instaladas. Con lo cual, ante cualquier duda respecto a las definiciones que posea el equipo, o ante la necesidad de descargar de forma manual la última actualización, lo mejor es acceder al Centro de Protección contra Malware de Microsoft.
 

Una de las preguntas que más se suele hacer un usuario de un sistema de antimalware, ya sea doméstico o un profesional es conocer el malware contra el que el motor está protegido. Este dato es especialmente sensible cuando hablamos de organizaciones que desean conocer si una determinada amenaza que se ha detectado en un sistema próximo a la organización - ordenador personal de un empleado, malware en un pedrive o en un documento recibido de un partner, etc... - puede saltar o no las protecciones del antimalware.

Microsoft, desde el Malware Protection Center oferta el servicio de Seguimiento de cambios en las fimas de los motores dentro de la página "What's new". Basta con ir a cualquiera de los productos de Forefront que tengan integrado el motor antimalware de Microsoft y buscar la versión de las firmas.


Figrua 1: Versión de Firmas en Microsoft Security Essentials


Figrua 2: Versión de Firmas en sistema de Malware inspection en MS Forefront TMG 2010

Una vez localizada la versión de las firmas, basta con ir al Malware Protection Center y buscar las últimas actualizaciones añadidas a dicho motor.


Figrua 3: Informe de cambios en las firmas de malware

De esta forma, es fácil conocer si un activo malware va a ser detectado o no por nuestra solución AV. Tienes más información sobre este tema en el blog de ISA Server (TMG)
 

Los dos problemas típicos a los que se enfrenta cualquier motor antimwalware son:

1.- Detectar todo el malware existente en un sistema.
2.- No detectar ningún fichero legítimo como malware, es decir, no tener errores de Falsos Positivos.

Estas características son medidas siempre en todos los tests y pruebas de detección que utilizan las empresas que se dedican a certificar o premiar el funcionamiento de las soluciones antimalware/antispam.

Lógicamente, para conseguir solucionar el problema 1, es decir, detectar todo el malware existente en un sistema, los motores antimalware necesitan analizar las muestras de malware, por lo que el primer paso consiste en obtener esas muestras. Para ello el equipo de Microsoft trabaja en varios frentes que van desde la creación de Honney Pots y Honney Nets al rededor del mundo para recibir muestras de ataque, la suscripción a sistemas de trabajo colaborativo con otros laboratorios en la detección de muestras, como en Virus-Total, la recolección de muestras por medio de los miembros de la red Microsoft SpyNet o el reporte directo a través de Internet.

En todos los casos el objetivo es recoger muestras de malware, pero también la detección de los Falsos Positivos. Así, si una herramienta de Microsoft ha detectado un fichero legítimo como una muestra malware, es importante avisar a Microsoft para que corriga la firma que fue origen de la detección erronea. Con este objetivo Microsoft tiene abierto, en el Malware Protection Center, una página web en la que se puede reportar un malware o un falso postivo. Además, es conveniente reportar que herramienta es la que detecto ese falso postivo. En el ejemplo de abajo se puede ver como nuestro compañero Chema Alonso está reportando un supuesto falso postivo de una herramienta.


Reporte de un supuesto falso positivo de Microsoft Security Essentials

Si tienes alguno de estos dos problemas con un producto de tecnología Forefront no dudes en reportarlo en la siguiente URL: Envío de muestras de malware y falsos positivos a Microsof
 

Si estás siguiendo este blog es porque tienes cierto interes en conocer lo que se cuece con las tecnologías Forefront, así que tal vez sea una buena idea tener también en la lista los blogs de los equipos de producto de Forefront. Estos blogs están mantenidos por las personas que trabajan en los equipos de desarrollo, mantenimiento y comunicación de las distintas tecnologías. Microsoft, mediante un post en un blog, intentó recoger la lista de los blogs activos de la gran mayoría de los equipos de producto [Blogs de Equipos de Producto en Microsoft] y en la siguiente lista tienes aquellos referidos a tecnologías Microsoft Forefront:

Security Products Forefront

- Forefront Client Security
- Forefront Product Suite
- Forefront Server Security
- Forefront Threat Management Gateway ISA Server
- Forefront Unified Application Gateway UAG

Y si tu interés es la seguridad, tal vez te interese algunos de los blogs que utiliza como canal oficial Microsoft:

Security

- Microsoft Information Security Tools Team
- Microsoft Malware Protection Center
- Microsoft Security Response Center MSRC
- MSRC Ecosystem Strategy
- Security Bulletins Advisories
- Security Bulletins Comprehensive
- The Security Development Lifecycle
- Windows Security

 

Ya se habló hace algunos días sobre el Falso antivirus que simula ser Windows Security Essentials. Los falsos antivirus son programas que se instalan en las maquinas de los usuarios haciendose pasar por antivirus reales para, una vez instalados, comportarse como un troyano que controla la máquina o como un programa mafioso que, mediante el secuestro de archivos, vende actualizaciones para limpiar el supuesto virus y recuperarlos.

Los trucos que suelen utilizar para colarse se basan en técnicas de ingeniería social. Se aprovechan de usuarios no formados que pasan por una de las webs contaminadas para mostrarles páginas que simulan ser cuadros de dialogo del sistema operativo. El usuario, si no está formado adecuadametne y acepta la actualización de la supuesta firma o la actualización del software o la instalación del antivirus, queda infectado.

Recientemente se ha extendido un falso antivirus que simular ser el una herramienta de Windows 7. Así, cuando el usuario entra en la página web, aparece un popup que trata de parecerse a los mensajes del UAC (User Account Control) que ayudan a proteger los permisos de las cuentas de usuario.


Figura 1: Pop-up simulando UAC

Si el usuario hace clic en cualqier opción, se procederá a intentar instalar el archivo en el sistema. Éste, como se puede ver en la siguiente imagen, simular ser parte del sistema Windows, pero realmente es un troyano que ya ha infectado la máquina y que deberá ser limpiado antes de continuar trabajando con la máquina.


Figura 2: Falso Antivirus de Windows 7

Se recomienda tener especial cuidado con los falsos antivirus. En InfoSpyware hay una completa lista de Falsos Antivirus y Antispyware que peude ser consultada para conocer si un supuesto antivirus gratutio es realmente un troyano.

Desde Seguros con Forefront recomendamos la instalación de Security Essentials, que es un antivirus gratuito, totalmente funcional, que lleva el motro de Microsoft Antivirus y que, además, reconoce y previene este tipo de amenazas.

Puede ser descargado desde la siguiente URL: Micrososft Security Essentials