lunes, 19 de enero de 2009

Downadup, Conficker

Virus de alto impacto que nos está atacando todavia. Comenzó el viernes y no paró. Algunos detalles para que puedan solucionarlo. Es necesario tener instalado un parche de Windows lanzado en Octubre del 2008. La dirección es: http://www.microsoft.com/technet/security/Bulletin/ms08-067.mspx. Tambien poseer un buen antivirus actualizado al día, sino entrar al site de Symantec que tienen una tool para sacarlo.

Descripción General:

Downadup es un gusano residente en memoria, reportado el 24 de Noviembre del 2008 que se propaga explotando la vulnerabilidad del Servicio de Servidor RPC, que permite la ejecución de códigos arbitrarios en forma remota.

Infecta a toda la plataforma Windows, está desarrollado en Assembler con una extensión de 62,976 bytes y comprimido con rutinas propias.

Una vez ingresado al sistema se copia a la siguiente ruta:

%System%\[nombre_aleatorio].dll

Para ejecutarse la próxima vez que se re-inicie el sistema crea la llave de registro:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters]
"ServiceDll" = "[Ruta_al_gusano]"

System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo, el gusano borra cualquier punto de Restauración creado por el usuario y genera el siguiente servicio:

Nombre: netsvcs
Ruta de imagen: %SystemRoot%\system32\svchost.exe -k netsvcs

Luego revisa redes externas buscando explotar la vulnerabilidad del Servicio de Servidor RPC (MS08-067) y se conecta a los siguientes URLs para obtener la dirección IP del sistema infectado:

http://www.getmyip.org
http://getmyip.co.uk
http://checkip.dyndns.org

a continuación se conecta a la siguiente dirección web y descarga un malware, el cual ejecuta:

http://trafficconverter.biz/4vir/antispyware/[Removido]

El gusano crea un servidor HTTP en el puerto TCP 80 u 8080 y envia esa dirección a sistemas remotos.

Si logra explotar la vulnerabilidad RPC, la computadora remota se conectará a ese URL y descargará una copia del gusano. De tal modo que cada sistema vulnerado podrá propagar el gusano por sí mismo.

Seguidamente el gusano se conecta a un ruteador UPnP (plug & play), abre el puerto TCP 80 (HTTP) y ubica la red registrada como puerta de entrada a Internet (Gateway), permitiendo que intrusos puedan ingresar al equipo infectado desde redes externas.

El gusano intenta descargar un archivo de datos desde el siguiente URL:

http://www.maxmind.com/download/geoip/database/Geo[Censurado]

Para obtener la fecha del día vigente, el gusano se conecta a las siguientes direcciones web:

  • http://www.w3.org
  • http://www.ask.com
  • http://www.msn.com
  • http://www.yahoo.com
  • http://www.google.com
  • http://www.baidu.com

La información es usada para generar una lista de dominios, a los cuales se conecta el gusano para descargar archivos adicionales.

viernes, 16 de enero de 2009

Windows 7


Está disponible hasta el 24 de Enero un aversión Beta del último sistema operativo de Microsoft. SI lo quieren bajar lo pueden hacer desde acá. Dicen que es más veloz que su antecesor, el Vista. Habrá que probarlo y sacar conclusiones. Con respecto a los requerimientos, que no son pocos, lo publicado en la página oficial dice lo siguiente:

Minimum recommended specs call for:

  • 1 GHz 32-bit or 64-bit processor

  • 1 GB of system memory

  • 16 GB of available disk space

  • Support for DirectX 9 graphics with 128 MB memory (to enable the Aero theme)

  • DVD-R/W Drive

  • Internet access (to download the Beta and get updates)



Si entramos a ver las funciones nuevas o features del "nuevo" sistema operativo, nos encontramos que en primer lugar está "Full screen previws" como novedad. En primer lugar esto ya lo he visto en algun otro lugar y por otro lado si esto es para ponerlo en primer lugar no debe haber mucha modificación de fondo, tal vez el marketing sea más fuerte que otros departamentos en el proyecto del Sistema operativo.... habrá que probar.
Otros features son:
Jump List: una especie de menú de inicio ordenable.
New ways to work windows: otras formas de trabajo con las ventanas.
Internet Explorer 8: mmmm......
Windows Live: mmmmmmm......
Better device management: esto puede estar bueno.
Home Group: para cmpartir entre los dispositivos multimedia.
Take control of problems: En realidad es para elegir que pop up de mensajes queremos ver y cuales no.....
Faster, more responsive performance: acá se enfocaron en la velocidad, veremos veremos...

IT Pros:
Para los que entendemos un poco más su núcleo está formado en base al de Windows 2008 y Vista. Recordemos que a partir de que se fue Bill la compañia se puso las pilas y contrato al mejor grupo de profesionales para su Centro de Investigaciones y Desarrollo. Esta división comenzo con la creación del SP2 del XP. Con la creación del Vista, es como que tiraron todo y empezaron de cero. Parece que a partir de allí las cosas empezaron a funcionar un poco mejor.
El enfoque en el desarrollo del windows 7 fue: mejorar la performance y compatibilidad de las aplicaciones, compatibilidad con dispositivos, fiabilidad y duración de la bateria de las laptops. Para los administradores IT el 7 y ya el Vista suman características renovadas de GPOS y configuraciones de usuarios, más que nada mejoras en las laptops que están gran parte de su tiempo fuera de las redes corportaivas. Ellas podrán actualizarce con servidores remortos de la empresa y no podrán modificar su usuario al libre albeldrío, es un proyecto llamado UAC (User Acces Control). Por supuesto el uso de Power shell en estos equipos los hacen sobresalir de sobre manera con respecto a los XPs.
Veremos veremos.

sábado, 3 de enero de 2009

El sistema Operativo que viene Haiku


Haiku, es el Sistema Operativo que permitirá a Google entrar a competir con empresas como Microsoft, RedHat, Solaris, y otras. Pero apuntan al usuario doméstico por ahora, para brindarles las aplicaciones web y todo lo que viene detrás de esto. Está basado en el antiguo BeOS. Si, aunque no lo crean y se escuche como viejito.
Vienen con todo, yo presencie el booteo en una pc física, fue la primera vez que se mostraba en vivo y fue en mi querida facultad, la UTN de La Plata. Fue presentada por Bruno, el mismo que está en este video, trabaja en Brasil pero se le entiende bastante su Inglés.

Para él que no lo sepa, BeOS fue creado en 1991 para ser la plataforma estrella de la compañia Apple, sería su futuro Sistema Operativo, pero por razones económicas no se llego a un acuerdo y Apple se terminó quedando con NExtStep. Be Inc, su creadora, continuó con dos versiones más llamadas BeIA y BeOSPE antes de caer en manos de la compañia Palm en el 2001. Be Inc, pasaría a ser parte de Palm para ese entonces. A partir de acá el open source continuó manteniendo a BeOS vivo, se escucharon muchos nombres en el camino como FreeBeOS o OpenBeOS pero el que importa en esta nota es Haiku.
Conserva todas las extraordinarias características de BeOS: fue creado como una plataforma de 64 bits y no de 32 como lo es Windws, Linux y otros (estos últimos pasaron a ser de 32 bits pero nunca fueron pensados para ser empleados en estos entornos), es monousuario a diferencia de Unix y otros, por eso está pensado por ahora para plataformas de escritorio. Ofrece capacidad para multiples procesadores y cada línea de comando fue pensada para trabajar con multiples hilos de procesamiento a diferencia de los anteriores sitemas operativos. Ofrece un alto rendimiento y alto aprovechamiento del hardware actual. Posee un ancho de banda de entrada y salida modular y respuesta en tiempo real. Tiene un sistema de archivos propio llamado BFS en el cual se basaron los sistemas NTFS y EXT3 de Linux.
Hay mucha información en la red, su código fuente es libre al igual que el de sus aplicaciones.
Hay páginas de software libre para esta plataforma como por ejemplo BeBits. y páginas de información recomendables, la mejor BeOSMax.
Es hora de esperar o comenzar bajando una máquina virtual con Haiku instalado para probarlo.