SERVICIO ASISTENCIA TÉCNICA INFORMÁTICA
|
|
| |
SERVICIO ASISTENCIA TÉCNICA INFORMÁTICA |
|||
| www.satinfo.es | |||
Nuevo paquete de McAfee Agent Patch2 para incluir credenciales
Fin de vida del producto Alert Manager
Nueva propagación de malware por
mail con asunto “RE: Deuda pendiente”
Nuevo paquete de McAfee Agent Patch2 para incluir credenciales
ePolicy Orchestrator permite el uso de un
paquete de instalación para ayudar en el despliegue de agentes de McAfee. Este
es un mecanismo de despliegue distinto del estándar de ePO y está destinada a
facilitar la instalación del agente a través de scripts de inicio de sesión o de
otro tipo de procesos automatizados.
Debido a que el instalador del agente de McAfee requiere un mayor nivel de privilegio que el de la mayoría de los usuarios registrados, el instalador binario necesita una forma de elevar su nivel de privilegio. Para evitar esta limitación, puede incrustar credenciales en el instalador de paquetes binarios. Esto permite al binario instalar con éxito el software.
IMPORTANTE: Debido a que un paquete de instalación creado para este
propósito lleva credenciales incorporadas, el acceso a él debe ser severamente
restringido. Los paquetes de instalación con credenciales incrustadas sólo deben
utilizarse en situaciones muy específicas cuando cualquier otro método de
despliegue no está disponible.
Si debe utilizar un paquete de instalación con credenciales incrustadas, McAfee
recomienda que se apliquen las medidas de seguridad a continuación:
No utilice una cuenta de administrador
- Crear una cuenta con acceso únicamente al grupo de administradores locales
del equipo cliente en cuestión. Se recomienda que use una cuenta distinta de
lo que normalmente se utiliza para las operaciones habituales.
Cambie sus contraseñas con frecuencia
- El cambio de contraseñas invalida los binarios con credenciales
incrustadas. Si está usando este procedimiento, se recomienda que cambie
esta contraseña (y crear una nueva distribución binaria) al menos
semanalmente.
Deshabilitar la cuenta cuando no esté en uso
- Si realiza una implementación en varios sistemas, considere la posibilidad
de desactivar la cuenta cuando ya no quedan despliegues para realizar. Esto
evitará que las credenciales puedan ser utilizadas.
Limitar el acceso de la cuenta
- El instalador sólo requiere acceso como administrador local a los sistemas
cliente. No debe tener derechos de acceso a los servidores de claves, como
el controlador principal de dominio, Maestro de Active Directory, servidores
de archivos o servidores de impresión.
Considere la posibilidad de no utilizar este método en los sistemas clave - Siempre que sea posible, no utilice un paquete con
credenciales incrustadas en los servidores clave. Si es necesario, un
administrador puede realizar la instalación directamente en el servidor sin
incrustar credenciales en el paquete.
Habilitar los registros de auditoría de seguridad - Activar (y controlar) el uso de esta cuenta. Si la cuenta se utiliza correctamente, sólo debería mostrar un único inicio de sesión en los clientes en el momento de su despliegue. Cualquier otro intento de acceso de esta cuenta debe ser investigado inmediatamente.
Pulse aquí para descargar MA400P2WINEmbedded
Fin de vida del producto Alert Manager
El 30 de abril de 2009, Alert Manager 4.7.1
llegará al final de su ciclo de vida. McAfee Customer Support dejará de proveer
soporte técnico de este producto a partir de la fecha indicada.
Los clientes que quieran seguir utilizando Alert Manager a partir del 1 de mayo de 2009 deberán utilizar McAfee ePolicy Orchestrator.
Nuevo virus de propagación por mail con asunto “RE: Deuda pendiente”
Se está recibiendo masivamente un mail, (EN CASTELLANO), cuyo asunto crea el interés de ver lo que dice,(INGENIERIA SOCIAL) al indicar DEUDA PENDIENTE, y sin duda, de abrir el presunto fichero DOC que hay dentro del ZIP, lo que pasa es que dicho "DOC" en realidad es un EXE, ya que después .DOC y de 38 caracteres “_” hay la extensión .EXE, que es la que cuenta (como siempre la última es la que FUNCIONA)
El texto del mail dice únicamente :
"Le informamos que tiene una
factura pendiente de pago"
Al querer mirar dicho supuesto documento de Word (con icono de MS Word), se ejecuta en realidad el .EXE que es un Downloader ( el cual PUEDE DESCARGAR LO QUE PONGA SU AUTOR EN LA WEB DE DESCARGA, INCLUSO DIFERENTE CADA VEZ )
Lo pasamos a controlar como Downloader SVCHOST.TEMP ya que la ejecución del FACTURA7.DOC____EXE genera un SVCHOST.EXE en la carpeta temporal. (No confundir con el SVCHOST.EXE de la carpeta de sistema, que es el lanzador del Windows)
Cabe decir que sólo lo detectan actualmente 13 de los 40 antivirus del VirusTotal:
File Factura7.doc_____________________ received on 04.28.2009 18:24:39 (CET)
Result: 13/40 (32.5%)
File size: 22016 bytes
MD5...: 45a6ea09ef6759a8ac7e10bad0f05d92
SHA1..: 4e5a656297ca353501673c65ec2753107f4bb606
Si alguien lo recibe, que no lo intente abrir ni leer, ya que se va a infectar, pero si es el caso, nuestra utilidad EliStarA actual (desde la v 18.50) ya existente en nuestra web lo detecta y elimina.
Pulse aquí para descargar EliStarA
SATINFO,
SERVICIO DE ASISTENCIA TÉCNICA
INFORMATICA 30 de Abril
de 2009