NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TÉCNICA INFORMÁTICA

www.satinfo.es

Anterior

 

MUY IMPORTANTE: NUEVO ZERO DAY DE MICROSOFT que facilita nueva vía de infección por dispositivos de almacenamiento USB como pendrives, HD USB, memórias SD, etc. (virus STUXNET y AUTOSTART)

 

 

A finales de la semana pasada, Microsoft avisó de un agujero de seguridad no parcheado, que actualmente sigue siendo ZERO DAY, por el que los sistemas operativos Windows adolecen de un bug por el que ejecuta automáticamente, sin intervención del usuario, los .LNK (manipulados) aunque tuviera deshabilitada la función del AUTORUN y AUTOPLAY.

 

El fallo proviene de la manera en que el Windows Shell maneja los archivos .LNK y es fácil aprovecharla en los dispositivos de almacenamiento USB para que se autoejecuten determinados ficheros sin intervención de los típicos AUTORUN.INF

 

Microsoft aconseja prescindir de los iconos de los .LNK para evitar dicha acción, pero con ello se queda el escritorio con iconos neutros para todos los enlaces directos (.LNK), y también los demás accesos directos de la barra de inicio:

 

Microsoft reconociendo la vulnerabilidad, recomienda las siguientes contramedidas a la espera de publicar un parche:

 

* Poner en blanco el valor predeterminado (default) de la rama del registro:

HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler

 

* Detener y deshabilitar el servicio "cliente web" (WebClient).

 

Habiendo inicialmente modificado nuestra utilidad ELIPEN.EXE (V2.0) para que hiciera la protección aconsejada por Microsoft de forma automática, no nos gustó el efecto que causaba, por ello retiramos dicha versión por otra superior 2.1 en la cual se han implementado dos opciones:
 

Se espera que con los parches de Microsoft de Agosto (2º martes será el día 10) incluyan la solución sin que se pierdan los iconos... ya veremos, pero mientras, tenerlo presente para evitar, en lo posible, la introducción de troyanos de este tipo, de los que ya se conocen dos, el STUTNEX y el AUTOSTART, siendo el primero ya controlado por el ELISTARA (>20.41) y como de ellos nos tememos una profusión, especialmente mientras Microsoft no haya desarrollado el parche en cuestión, y en cambio los hackers ya han publicado el código vírico en Internet, conviene tomar medidas.

 

Mucho cuidado con los dispositivos de almacenamiento masivo USB como los pendrives, para los que ya no es suficiente la protección típica del AUTORUN..., Y RECORDAR QUE LAS MEMORIAS DE LAS MÁQUINAS FOTOGRÁFICAS DIGITALES SON COMO PENDRIVES

 

Ver lo indicado al respecto en el blog de SATINFO, (www.satinfo.es/blog)  donde vamos informando de la problemática del día a día, en el que pueden verse los pormenores al respecto, de los que destacamos aquí que el primer virus del tipo LNK (el STUXNET) es además ROOTKIT, tiene funciones de Backdoor, usa ficheros certificados digitalmente por REALTEK, desactiva los antivirus mas conocidos, se inyecta en el IEXPLORE para evitar los cortafuegos, y lanza un ataque de DDoS contra una serie de las redes de información SCADA, específicamente a Productos Siemens WinCC y PCS 7.  El malware se propaga a través de llaves USB. También puede ser propagado a través de unidades compartidas en una red con otros equipos infectados.

 

El objetivo del malware parece ser el espionaje industrial, es decir, para robar la propiedad intelectual de SCADA y sistemas de control de procesos. En concreto, el malware utiliza la contraseña por defecto de Siemens de la cuenta WinCCConnect MSSQL, para acceder a la base de datos PCS7/WinCC y extraer los datos de proceso y, posiblemente, pantallas de HMI.

 

Mucho cuidado con ello, ya que se teme que este método será aprovechado por mas troyanos del mismo tipo, especialmente mientras sea un ZERO DAY !!! (vulnerabilidad sin parche)

 

 

Pulse aquí para descargar EliPen

 



SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA   22 de Julio de 2010

 

 

Anterior