Cuba contra el Bloqueo

NUEVO PROGRAMA MALIGNO W32.DESNU

Se ha reportado el programa maligno hecho para Cuba W32.DESNU que crea en el directorio actual y en el directorio raíz de las unidades lógicas C: a L: , de la PC que infecta , un fichero "autorun.inf" el cual hace referencia al fichero ejecutable desnuda.exe y hace múltiples copias de sí mismo con nombres variables en el directorio raíz y en carpetas aleatorias de las unidades lógicas antes mencionadas, mientras exista espacio libre. a la vez que las ejecuta hasta llegar a agotar la memoria del sistema.

El W32.DESNU es el archivo ejecutable "desnuda.exe" de 45056 bytes y tiene como icono la cara de una mujer

Dentro de la llave de registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run crea una subllave nombrada "RunDLL" haciendo referencia a una de las copias del programa maligno en el disco duro, por lo que cambia constantemente.

El Segurmatica Antivirus lo detecta y lo descontamina.

Regresar

Nuevo Programa maligno DuQu.

Un nuevo programa maligno conocido internacionalmente como Duqu, podría realizar ataques similares a Stuxnet.

Ante la amenaza que el mismo significa , su detección y descontaminación ha sido incluida en la actualización del 20 de Octubre del Segurmatica Antivirus.

Las computadoras infectadas por el programa maligno DuQu, cumplen al menos con una de las condiciones siguientes:

1. Existe la llave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\JmiNET3

2. Existe la llave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cmi4432

3. Existe la llave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nfrd965

4. Dentro de la carpeta c:\windows\inf (en realidad %systemroot%\inf) existe alguno de los ficheros:

netp191.PNF

netp192.PNF

cmi4432.PNF

cmi4464.PNF

5. Dentro de la carpeta c:\windows\system32\drivers (en realidad %systemroot%\system32\drivers) existe alguno de los ficheros:

cmi4432.sys

jminet7.sys

nfrd965.sys

Regresar

Nuevo Programa maligno deja fuera de servicio los Discos Duros

El nuevo y peligroso programa maligno W32.VRBAT, que se trasmite por memorias flash que contienen el archivo USBCHECK.EXE, se encuentra afectando a las redes nacionales,diseñado con el objetivo de dejar fuera de servicio a los discos duros de las computadoras y la información que estos contienen.

Segurmatica Antivirus lo detecta y descontamina, no así otros antivirus.

La acción destructiva no ocurre en el mismo día de la infección y nunca antes de reiniciar la computadora 6 veces.

Las computadoras infectadas tienen la llave del registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Alfa1

Si aparece esta llave, NO apague su computadora y comuníquese inmediatamente con Segurmatica o a la División DESOFT más cercana.

Si su disco se encuentra afectado por este programa maligno, contacte con Segurmatica y le recuperaremos toda la informacion, asi como la operabilidad del mismo al 100%.

Regresar

Información sobre un nuevo gusano W32.DICHOS

Características generales del gusano W32.DICHOS, posiblemente desarrollado en Cuba o para Cuba y que no es detectado por ninguno de los productos antivirus presentes en Virus Total, Segurmatica Antivirus lo detecta y descontamina con fecha 6 de junio de 2011.

Características:

1.- Se encuentra en un fichero ejecutable nombrado “Refranes.exe” con un tamaño de 266240 bytes, que es posible llegue a una PC desde un soporte de almacenamiento externo como una memoria flash.

Regresar

Programa Maligno Stuxnet

Desde la segunda semana de julio del 2010 se encuentra circulando en nuestro país un nuevo programa maligno, conocido por la mayoría de los fabricantes de AV como Stuxnet. Existen evidencias indirectas de que se encuentra circulando en redes globales al menos desde marzo, a partir de reportes de sus efectos en diferentes fórums. Este programa maligno tiene varias características interesantes:

1. Se transmite a través de memorias flash pero sin usar autorun.inf.

2. Se instala como drivers que se activan cuando inicia el sistema.

3. Sus ficheros principales están firmados digitalemente.

4. Tiene actividad de rootkit.

Para transmitirse usando memorias flash explota una vulnerabilidad desconocida hasta ese momento, que causa que el Windows ejecute enlaces presentes en ficheros de tipo lnk malformados. En el caso de este programa maligno se trata de un fichero con formato correspondiente a una applet del panel de control (extensión cpl). La vulnerabilidad se explota cuando el sistema operativo trata de mostrar el icono correspondiente al enlace dentro del fichero lnk.

Una vez ejecutado el programa maligno, este instala 2 drivers que no necesitan reiniciar para comenzar su trabajo. Simultaneamente se crean 2 ficheros con contenido cifrado que contienen la funcionalidad real del programa maligno. Uno de los drivers es responsable de ocultar los ficheros malignos de las aplicaciones del sistema operativo, por ejemplo, el explorer. El otro driver inyecta código en los procesos del sistema svchost.exe y services.exe, por lo que no existe ningún nuevo proceso creado por este programa maligno.

Es interesante que los drivers están firmados digitalmente con un certificado de la compañía Realtek. Esto significa que el autor del programa maligno tuvo acceso a la llave privada de este certificado, un secreto supuestamente muy bien guardado. Es interesante también que la fecha de la firma digital es de enero del 2010, lo que significa que estos drivers están listos desde esa fecha. El certificado expiro el 6/6/2010, 5 meses después de usarse para la firma del programa maligno. Adicionalmente fue revocado por Verisign ante la actividad maligna demostrada.

Los ficheros de este programa maligno contienen cadenas que hacen pensar que esta diseñado para conectarse a sistemas SCADA de la empresa SIEMENS, no queda claro con que fin. La funcionalidad completa del programa maligno todavía no ha sido estudiada. El driver que oculta los ficheros tiene errores que hace que dejen de funcionar algunos otros drivers, por ejemplo, el que instala Rational Clearcase. Los fallos en aplicaciones que usen drivers como filtros para sistemas de archivo y/o svchost.exe pueden ser síntomas de infecciones con este programa maligno, que por demás pasa completamente inadvertido.

Segurmatica Antivirus detecta y descontamina esta amenaza desde el 13/7/2010.

Datos técnicos:

Llaves principales del registro creadas:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MRxCls

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MRxNet

Ficheros creados en el sistema:

%SystemRoot%\inf\oem6c.pnf

%SystemRoot%\inf\oem7a.pnf

%SystemRoot%\inf\mdmcpq3.pnf

%SystemRoot%\inf\mdmeric3.pnf

%SystemRoot%\System32\drivers\mrxnet.sys

%SystemRoot%\System32\drivers\ mrxcls.sys

Ficheros creados en la raíz de una memoria flash al infectarla:

Copy of Copy of Copy of Copy of Shortcut to.lnk

Copy of Copy of Copy of Shortcut to.lnk

Copy of Copy of Shortcut to.lnk

Copy of Shortcut to.lnk

~WTR4132.tmp

~WTR4141.tmp

Regresar

Convocatoria de Informáticos

La Empresa de Consultaría y Seguridad Informática (Segurmática) oferta las siguientes plazas:

- Especialista C en Ciencias Informáticas. Grupo X salario escala $ 325.00 MN.
- Especialista General en Tecnologías de las Comunicaciones, la Electrónica, la Automática, y los Servicios Técnicos. Grupo X salario escala $ 325.00 MN.
- Especialista Superior en Tecnologías de la Información, las Comunicaciones, la Automática, la Electrónica y los Servicios Técnicos. Grupo XII salario escala $ 385.00 MN.
- Especialista General en tecnologías de la Información, las comunicaciones y la Electrónica. Grupo XI salario $ 365.00 MN.
- Contador B Grupo XI salario escala $ 365.0 MN.

Los requisitos iniciales son:

Ser Graduado universitario en carreras afines a las plazas que se ofertan
Dominio de idioma Inglés.

Segurmática está ubicada en zanja No. 651 esq. A Soledad, Centro Habana, Ciudad de la Habana con un horario de trabajo de 8:00 am a 5:30 pm.

La empresa se encuentra desde el 2001 en Perfeccionamiento Empresarial, y se paga por este concepto $ 105.00 M.N. adicional al salario básico.
Están aplicados los Sistema de Pago por Resultados y un Sistema de Estimulación en CUC.

El ambiente de trabajo es muy bueno, con condiciones superiores a los estándares de oficina (teléfono de pizarra, mobiliario individual, climatización, iluminación, limpieza, niveles de ruidos adecuados). Se realiza una actividad intelectual elevada con contacto visual en la computadora. Los especialistas disponen de computadoras individuales modernas, y también de servicios de correo, acceso a Internet y otros de acuerdo a las necesidades del trabajo.

Se anexa la planilla de solicitud que deberá, una vez llena, enviar al correo Barbara Maura
Teléfonos: 870 3536 o 37

Regresar

Información a nuestros clientes

Estimado cliente:

La versión 1.4 del producto Segurmatica Antivirus Edición Kaspersky está disponible en la página Descargas del sitio web así como las bases para su actualización y la herramienta que permite realizar la descarga de la actualización de forma diferencial desde el sitio web de Segurmatica hacia una carpeta local. Esta herramienta se encuentra disponible para las plataformas Windows, Linux y FreeBSD.

Mejoras incluidas en esta versión del producto:

- Incorpora el motor antivirus versión 8.0 de Kaspersky Lab, lo cual la hace mucho más eficiente.

- Optimización del uso de la memoria.

- Contiene un nuevo mecanismo de descontaminación genérica.

- Se reduce el tamaño de la base datos con la cual trabaja.

- Incorpora un mecanismo de copia de seguridad.

- Es compatible con las versiones de los sistemas operativos actuales para 32 y 64 bits.

Ya no se le dará soporte técnico a la anterior versión del producto, la versión 1.3, debido a que el motor antivirus incluido en la versión 1.4 utiliza un nuevo formato de actualización de sus bases de datos, incompatible con la versión 1.3, ya caduca. Cada entidad debe migrar lo antes posible a la versión 1.4.

Por favor , no dude en solicitar al Grupo de Soporte Técnico cualquier apoyo o servicio que podamos brindarle a través de la dirección de correo electrónico: soporte@segurmatica.cu ó los teléfonos: 870-3536 ext. 133 a 136.

Regresar

Informacion de riesgo

En varios sitios cubanos se ha detectado información sobre la recuperación de discos bloqueados por el W32.VRBAT, que no permite realmente la recuperación, y obligan a trabajar con herramientas peligrosas , que en manos inexpertas pueden corromper los discos , lo cual consideramos que representa un alto riesgo.

El proceso de recuperación lleva varios pasos que no son triviales y deben ser realizados por especialistas que comprendan lo que están haciendo. Recomendamos a cualquier interesado en la recuperación de discos afectados por el W32.VRBAT , contactar con Segurmatica o con DESOFT.

Regresar

Se anuncian las programaciones de adiestramientos para el 1er Trimestre del 2012. Las solicitudes de matrículas se reciben por los teléfonos: 870-3536-38, 8784085-86 ext 101.

Regresar