|
|
||
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
www.satinfo.es | Anterior |
Recomendaciones de Seguridad - Medidas y Nuevos Parches a Aplicar
En el terreno de los virus informáticos hay modas que conviene tener presentes para poder frenar los peligros que conllevan. Actualmente los virus más frecuentes son los gusanos que se propagan por correo electrónico y/o a través de los recursos compartidos de Windows.
Además, los ataques aprovechando las vulnerabilidades del Microsoft Internet Explorer están al orden del día, por lo que Microsoft va creando nuevos parches con los que evitar infecciones por esta causa, y que en algunos casos son imposibles de evitar simplemente con los antivirus (recordemos el w32/Klez@MM).
Por otro lado existen algunas utilidades que evitan caer en los trucos que utilizan algunos creadores de virus, y también de algunos virus generados a partir de programas existentes en Internet, como los viejos conocidos VBSWGenerator (Generadores de virus de Visual Basic para Windows)
Todo ello hace que la experiencia de los usuarios en el terreno de protección contra virus sea muy importante para complementar los antivirus, pero dado que la experiencia se obtiene a base de "palos", ofrecemos en este documento algunas recomendaciones para evitar en lo posible la entrada de virus y que no sean necesarios los "palos" para que nuestros asociados lo consigan.
Ante todo, recordemos que el primer virus propagado fué el PING, el cual se introduce en los ordenadores por olvidar un disquete, con el BOOT infectado, dentro de la disquetera y arrancar el ordenador con dicho disquete insertado. Ello provoca que se infecten sectores de arranque del disco duro, tanto si el disquete tiene sistema operativo y el ordenador arranca, como si no, y aparece el típico mensaje de "No hay sistema operativo, cámbielo y pulse una tecla", o similar, y en cualquier idioma según el texto del BOOT del disquete.
En consecuencia:
* 1.- VIGILAR QUE AL ARRANCAR EL ORDENADOR NO HAYA DISQUETE EN LA DISQUETERA
Debemos indicar que en nuestro país, se han dado épocas en que, los disquetes nuevos de las mejores marcas, comprados ya formateados, han venido infectados con virus como el BLEAH. No fiarse de los disquetes preformateados, pueden contener virus. Ofrecemos nuestra herramienta PROTBOOT.EXE que, en 1 segundo, implanta un nuevo BOOT, sensible a cambios, a los disquetes procesados, con lo que evitar posibles infecciones por virus de este tipo. Lógicamente estos virus son detectados por los antivirus si se examinan, pero si el ordenador está apagado, y se arranca la máquina con un disquete infectado colocado en la disquetera, primero el virus infectará el ordenador, y luego, cuando se arranque normalmente, el antivirus detectará que el ordenador ya está infectado, por lo que se deber proceder a la desinfección, que según el virus y el sistema operativo utilizado, podrá ser más o menos complejo.
Recordamos algunos otros virus de este tipo, que han tenido alta propagación, como el STONED, el TELECOM, ANTITEL o KAMPANA, los CORUÑA o RASEK, el MONKEY, y el último de todos, el WYX, que sigue infectándonos actualmente y para el que algunos antivirus no tienen solución. En el caso de encontrarse con alguno de ellos, consultar en nuestro fichero SOLUCION.EXE la utilidad adecuada para su eliminación del disco duro, específica para alguno de ellos, siendo para disquetes la misma utilidad propuesta anteriormente, el PROTBOOT A:
En consecuencia:
* 2.- PROCESAR TODOS LOS DISQUETES CON NUESTRA UTILIDAD PROTBOOT.EXE
Otro de los métodos de entrada de virus es por ejecución de ficheros anexados a los e-mail, los cuales, aunque aparenten venir de una dirección conocida, puede ser que no vengan de dicha dirección, y lo mas habitual es que el usuario remitente no sea conocedor de haberlo enviado, sino que de forma automática el virus se haya autoenviado a todas las listas de direcciones de las libretas de Outlook, de Windows, (*.wab) etc, o buscando en todas partes direcciones existentes, en los mails enviados y recibidos, en documentos, en caché de Internet, y en todas partes de donde las puede obtener, creando un fichero de direcciones a las que envía los mensajes infectados.
Un virus relativamente reciente de este tipo es el caso del w32/Sircam@mm, que crea un fichero de datos en el directorio de sistema de Windows con un nombre variable, pero que es fácil de encontrar y editar al tener como letras fijas Sxx1.DLL (Por ej, SDC1.DLL). Virus de este tipo hay muchísimos, pero en cualquier caso es posible evitarlos no abriendo los ficheros anexados a e-mail si estos no han sido solicitados o no son esperados, aunque sean de conocidos.
En consecuencia:
* 3.- NO ABRIR NI EJECUTAR LOS FICHEROS NO SOLICITADOS ANEXADOS A E-MAIL.
Uno de los trucos conocidos usados por los creadores de virus es disimular la extensión del fichero anexado a base de aplicar al fichero dos extensiones.
Realmente la primera extensión forma parte del nombre, y sólo la segunda es la utilizada por Windows para la ejecución del programa. Así el usuario piensa que abre un fichero tipo TXT, JPG, DOC, mientras que realmente se trata de un ejecutable.
De esta gama de virus autoenviados por e-mail y con doble extensión, son comunes los escritos en Visual Basic Script, y para para camuflar la extensión VBS, los creadores de virus utilizan el truco de nombrar el fichero infectado con dos extensiones, con lo cual consiguen engañar al usuario al mostrar Windows la primera de ellas, mientras que ejecuta la última. De este modo, VBS/Loveletter@MM consiguió en pocas horas infectar millones de ordenadores en todo el mundo, pues envía emails a todas las direcciones con un fichero anexado ILOVEYOU.txt.vbs, el cual fué abierto por todos los usuarios que lo recibieron, ya que se presentaba como un inofensivo fichero TXT, mientras que al pulsar sobre él se ejecuta el VBS que realmente es. Como este hay gran cantidad de virus, incluso hay programas disponibles en Internet que permiten a un niño de 8 años hacer virus de este tipo. Recordemos algunos que nos han afectado en nuestro país como el VBS/Davinia@MM, VBS/San@mm, VBS/Valentin@MM, y otros hechos con los programas generadores como el Annakournikova (VBS/VBSWG.gen@MM), el Shakira, etc.
Complementando al antivirus, y para poder evitar nuevos virus de este tipo que todavía no sean conocidos, existe nuestra utilidad VBSHSFIX.EXE, que impide la ejecución de un fichero VBS o SHS simplemente por pulsar doble click sobre el mismo, que es la forma típica de entrada de este tipo de virus. Si el fichero es VBS o SHS, cuando se pulse doble click sobre él, sólo se abrirá el bloc de notas editando el contenido del fichero, sin ejecutar sus rutinas, con lo cual el usuario podrá leer las instrucciones de vbscript, sin infectarse. En cualquier caso, si se quiere procesar un fichero VBS o SHS conocido, podrá hacerse voluntariamente pulsando botón derecho del mouse e indicar ABRIR.
En consecuencia:
* 4.- EJECUTAR EN TODAS LAS MAQUINAS NUESTRA UTILIDAD VBSHSFIX.EXE
Desde finales del 2001 apareció una nueva forma de introducción de virus, que consiste en aprovechar vulnerabilidades de los programas mas usados para leer el correo, como es el caso de Ms Outlook Express. Debido a que existen bugs de seguridad en el Ms Internet Explorer (que es el intérprete HTML de Ms Outlook Expresss) que permiten ejecutar automáticamente ficheros anexados a los e-mail, la simple apertura del mensaje de correo o la visualización del mismo a través del Panel de Vista Previa, ejecuta el fichero anexado de forma involuntaria, pero con privilegios máximos por parte de Windows, de manera que no lo puede interceptar el antivirus. Por ello, Microsoft ha actualizado las versiones del Ms Internet Explorer y ha desarrollado parches que evitan dicha ejecución automática, al poder ser controlada por los antivirus. De ello tenemos múltiples virus recientes, empezando por el w32/Nimda@MM, continuando por w32/Klez@MM, y siguiendo con el w32/Yaha@MM, entre muchos mas.
Nuestro consejo es actualizar Ms Internet Explorer a la última versión e instalar los parches acumulados de seguridad mas recientes. Actualmente los últimos parches acumulativos son el Q323759, que contemplan, además de los controlados por los anteriores, la corrección de otras 6 vulnerabilidades. Conviene mantener los parches al día. También navegando por Internet se puede recibir un virus al leer el HTML de una página web infectada, lo cual puede ser evitado entre el antivirus y los parches.
En consecuencia:
* 5.- ACTUALIZAR INTERNET EXPLORER a v6.0 y/o ACTUALIZAR PARCHES
Otra de las argucias de los creadores de virus es el de propagarlos a toda la red de ordenadores a través de los recursos compartidos de Windows. Ello ya se controlaba en los servidores con el Netshield, pero no en los puestos de trabajo. Por ello también el antivirus VirusScan de McAfee ha sido mejorado, con un Service Pack 1 para la versión 4.5.1. En nuestro CDROM 4200 ya se ofrece dicho Service Pack, y al solicitar instalar el antivirus para Windows muestra dos opciones, instalar el antivirus o instalar el sp1. Para quienes no lo hayan aplicado, les sugerimos lo hagan. Igualmente, es importante activar la casilla Unidades de Red de las Propiedades de Sistema de VShield, para así controlar los recursos compartidos y evitar la propagación de un virus como el w32/Klez@MM o w32/Yaha@MM, a través de la LAN.
En consecuencia:
* 6.- APLICAR EL SP1 PARA VIRUSSCAN 4.5.1 Y ACTIVAR EN VSHIELD "UNIDADES DE RED"
Por último, recomendamos tener el antivirus actualizado al día, bien a través de la descarga de actualizaciones a través de INTERNET o en su defecto a base de los disquetes y CDROM que les enviamos periódicamente. Recomendamos leer el apartado Instrucciones para actualizar Automáticamente VirusScan, para una actualización desatendida. Este documento está disponible en nuestro CDROM 4200, en el fichero /utiles/virusscan.pdf, y también en nuestra web, www.satinfo.es, dentro del aparatado Descarga de DATS y SuperDats.
Al mismo tiempo recomendamos dar de alta su dirección de correo electrónico en el enlace Alta Información por e-mail, dentro del apartado Soporte de www.satinfo.es, para así estar informado gratuita y periódicamente de las novedades sobre virus, recomendaciones y de nuestra colaboración a base de sugerencias al respecto para su seguridad.
En cualquier caso, ante toda duda, sospecha o anomalía, les ofrecemos nuestro servicio telefónico HOTLINE atendido por profesionales especialistas con gran experiencia, quienes atenderán su consulta y podrán ofrecerles solución a su problema, o les pedirán que envíen muestras de ficheros sospechosos o los creados por utilidades específicas, con las que determinar la posibilidad de un nuevo virus no conocido y obrar en consecuencia, reportando a NAI el nuevo virus, si es el caso, para que incluyan su detección y control en la próxima actualización, o escalar el problema si se trata de una anomalía de programa.
En consecuencia:
* 7.- MANTENER EL ANTIVIRUS ACTUALIZADO Y APUNTARSE AL SERVICIO DE INFORMACION
Paralelamente se ofrecen soluciones de emergencia para el control de los virus nuevos hasta que sean detectados por el antivirus, bien con herramientas y utilidades de SATINFO, o a través de EXTRA.DAT de AVERT. Al respecto de las utilidades cabe señalar que SATINFO ofrece más de 100 utilidades con las que complementar al antivirus líder mundial, el de McAfee, las cuales pueden verse en el fichero ANEXOS.EXE, donde se relacionan y se indica su aplicación. Estas utilidades están en los CDROM de versiones base, así como en el apartado de DESCARGAS de nuestra web, seleccionando UTILIDADES DE SATINFO. Para descargar cualquier utilidad será necesario indicar el NOMBRE USUARIO y la CONTRASEÑA lo cual se indica en el contrato, pero en caso de extravío se ofrecerá una de emergencia a través del HOTLINE para descarga de actualizaciones y utilidades.
En consecuencia:
* 8.-CONSULTAS POR TELEFONO AL HOTLINE 934585385 o por e-mail a sat@satinfo.es
Resumen recomendaciones de SATINFO (edición Setiembre 2002):
1.- VER QUE AL ARRANCAR EL ORDENADOR NO HAYA DISQUETE EN LA DISQUETERA
2.- PROCESAR TODOS LOS DISQUETES CON NUESTRA UTILIDAD PROTBOOT.EXE
3.- NO ABRIR NI EJECUTAR LOS FICHEROS NO SOLICITADOS ANEXADOS A E-MAIL
4.- EJECUTAR EN TODAS LAS MAQUINAS NUESTRA UTILIDAD VBSHSFIX.EXE
5.- ACTUALIZAR INTERNET EXPLORER A 6.0 y/o ACTUALIZAR PARCHES A Q323759
6.- APLICAR EL SP1 PARA VIRUSSCAN 4.5.1 Y ACTIVAR EN VSHIELD "UNIDADES DE RED"
7.- MANTENER EL ANTIVIRUS ACTUALIZADO Y APUNTARSE AL SERVICIO DE INFORMACION
8.- CONSULTAS POR TELEFONO AL HOTLINE 934585385 o por e-mail a sat@satinfo.es
SATINFO, VIRUSCAN SPAIN SERVICE 04 de Septiembre de 2002