Feeds:
Entradas
Comentarios

Posts Tagged ‘Virus’

En ocasiones hemos visto que algunas soluciones de antivirus, tienen una interfaz para el usuario algo compleja, y pudiera ser que ni el administrador de la red le entienda a esta.

Dependiendo de las políticas de configuración que tenga SCEP, nosotros como administrador podemos definir si queremos que el usuario tenga interacción con la solución o en caso contrario que no tenga interacción con ella.

Pero mientras lo decidimos conozcamos esta interfaz de usuario que es muy simple, de hecho, si el usuario cuenta con Microsoft Security Essentials (MSE) o Windows Defender (para Windows 8), instalado en la computadora de su casa, se sentirá más identificado con la consola, ya que las consolas son muy parecidas tanto de Windows Defender (para Windows 8), Microsoft Security Essentials (MSE) y System Center Endpoint Protection (SCEP).

Empecemos por el icono de la barra de tareas:

Este icono se mostrara en forma de un escudo blanco con un fondo que puede variar dependiendo de tres aspectos:

  • Verde: si el sistema se encuentra en correcto estado, es decir, sin virus, con las últimas actualizaciones del antivirus y con el trabajo de escaneo realizado.
  • Amarillo: si el sistema se encuentra con amenazas como alertas, archivos en cuarentena o no se han realizado los trabajos de escaneo programados.
  • Rojo: si el sistema se encuentra infectado o bien no se tienen las actualizaciones de definiciones al día.

1

Ahora bien naveguemos dentro de la aplicación, al momento que la abrimos lo que encontraremos es una pantalla en donde habrá cuatro pestañas llamadas Inicio (Home), Actualizaciones (Update), Historial (History) y Configuración (Settings).

Inicio (Home).

En esta pestaña podemos ver el detalle de cómo se encuentra nuestro equipo, nos dirá si el equipo está protegido, si cuenta con la protección en tiempo real activada y si esta actualizado.

Del lado derecho podemos encontrar las opciones de escaneo para realizar un trabajo bajo demanda y podemos selección la opción de escaneo rápido, completo o personalizado en caso de querer escanear una sola unidad o carpeta de nuestro equipo, y en la parte inferior encontraremos la información de cuándo fue la última vez que se realizó el trabajo de escaneo del equipo.

2

Actualizaciones (Update).

En la parte central podemos encontrar las fechas de creación y actualización de las firmas de definiciones, esto con el fin de poder identificar si ha salido alguna actualización importante durante el lapso del día, por alguna amenaza mundial existente. También podemos encontrar la versión de las definiciones de Virus y de Spyware que se encuentran instaladas dentro del equipo, así como, un botón para realizar la actualización de las definiciones bajo demanda.

3

Histórico (History).

Aquí podremos observar tres filtros para identificar los archivos o amenazas que por las políticas de definición o por la decisión del usuario se hayan enviado a la cuarentena un sitio en donde se quedan almacenados estos de forma segura, para no infectar el sistema, mientras se libera alguna actualización de definiciones que ayude a eliminarla o bien el usuario decida eliminarla por cuenta propia.

También podremos identificar los archivos que se detectaron como posible amenaza y se les permitió la ejecución y por último el filtro que nos permite ver todos los archivos detectados, tanto aquellos que se mandaron a cuarentena o aquellos a los que se les permitió la ejecución dentro del sistema.

De igual forma podemos tomar acciones dentro de esta pestaña como eliminar todos los archivos ahí enlistados, eliminar solo uno de los ahí listados o bien restaurar el archivo seleccionado en caso de que se haya tratado de algún falso positivo.

4

Configuraciones (Settings).

En esta opción podremos encontrar varias configuraciones que podremos realizar como:

  • La programación de trabajos de escaneo, aquí podremos seleccionar la frecuencia con que se estará escaneando nuestro sistema, así como las opciones de cuanto porcentaje del procesador ocupara la solución al momento de escanear nuestro equipo, o bien que el trabajo de escaneo solo inicie cuando la computadora este prendida pero no en uso, con lo que nos ayudara a evitar que la computadora se llegue a alentar mientras realiza los procedimientos de escaneo.

5

  • Acciones por default, en esta sección podremos seleccionar las acciones que realizara SCEP al momento de detectar alguna amenaza dependiendo siempre del nivel de esta, por default las acciones que toma dependen de la acción que viene definida dentro de las definiciones de actualizaciones. Pero podemos determinar si la acción a realizar será eliminar la amenaza, permitirla o enviarla a cuarentena.

6

  • Protección en tiempo real: como toda solución de antivirus debemos de tener la protección en tiempo real encendida ya que es la que está verificando constantemente que es lo que está pasando en nuestro sistema y si llega a detectar algún archivo que este teniendo algún comportamiento raro poder notificarlo y dependiendo del nivel de amenaza tomar alguna acción pertinente. También podemos seleccionar si escaneamos los archivos que descargamos de internet y que vienen adjuntos en el correo y habilitar opciones como Inspección del sistema de Red esto por si algún equipo que este dentro de nuestra red quiere enviarnos la infección, con esta opción la podemos bloquear.

7

Exclusiones: podemos realizar tres tipos de exclusiones, por:

  • Tipo de archivos que es cuando no queremos que SCEP escanee los archivos con extensiones especificas por ejemplo un .ZIP.

8

  • Por archivos y locaciones, cuando tenemos una carpeta que no queremos que escanee por que puede ser muy delicada o algún nombre especifico de un archivo.

9

  • Exclusión de procesos, esto es muy útil cuando tenemos SCEP en un servidor de aplicaciones por ejemplo un SQL y no queremos que realice escaneo de todo lo que esté utilizando SQL para funcionar, pero como sabemos SQL ocupa muchos archivos de diferentes tipos y tendríamos que estar investigando cuales son estos, para hacerlo de una forma mucho más sencilla podemos utilizar este nivel de exclusión en lo que lo único que tenemos que hacer es decirle que tenemos que excluir el proceso de SQL y SCEP se encargara de no escanear los archivos que SQL utilice para estar en ejecución.

10

Avanzadas: aquí podemos realizar una configuración más avanzada de nuestra solución por ejemplo decirle que escanee dispositivos removibles (USB), que escanee archivos compresos, la creación de puntos de restauración y si permitiremos que los usuarios puedan ver la lista de los Históricos, así como, definir por cuantos estarán estos en la lista.

11

Microsoft Active Protection Service (MAPS) lo que anteriormente se llamaba SpyNet, que es el servicio con el cual nosotros reportamos automáticamente todo el malware o software de amenaza potencial que se encontró dentro de nuestro equipo a los laboratorios de Seguridad de Microsoft, con lo cual MAPS nos podrá ayudar a una mejor protección de nuestros equipos.

Podemos seleccionar entre el reporteo Básico o Avanzado, la diferencia es que en el avanzado se reporta un poco más de información para ayudar a los laboratorios de Microsoft a crear las nuevas definiciones de una mejor forma y así proteger nuestros equipos.

12

Por último la opción de Ayuda, esta nos permite ver información referente al producto, donde podemos ver la versión del producto y de las definiciones, o bien, hacer un envío de un archivo que nosotros sentimos es un virus, a los laboratorios de Microsoft para su evaluación, cuando nosotros realizamos esto y el archivo, en efecto, contenía un virus que aún no se encontraba en las definiciones, Microsoft nos manda en respuesta y en agradecimiento la actualización de las definiciones que nos ayudaran a eliminar este virus.

13

Como pueden ver la consola es muy amigable para el usuario, cabe mencionar que, si el administrador realizo políticas de configuración el usuario final no podrá modificarlas.

Read Full Post »

Como vimos en el post anterior, dentro de la suite de Forefront podemos encontrar soluciones que nos permiten tener protegida nuestra infraestructura desde la capa de seguridad en el cliente y servers, seguridad en las aplicaciones y seguridad en la capa perimetral.

Ahora describiremos cada una de las soluciones de Forefront 2010, para que sepamos cómo nos permiten proteger nuestra infraestructura.

Capa Seguridad en el cliente y servidores.

Forefront Endpoint Protection 2010 (FEP) o ahora System Center Endpoint Protection (SCEP) 2012.

  • Provee protección contra malware como lo puede ser algún Spyware, Virus y otros.
  • Actualización automática.
  • Integración con las políticas existentes en el directorio activo.
  • Mejora el performance al momento del escaneo.
  • Puede ser instalado en equipos que tengan Windows XP SP2, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008, equipos virtual izados.
  • Administración del Firewall desde sus políticas.
  • Escaneo Selectivo.
  • Integración con SCCM 2007R3.

th

Capa Seguridad en los servidores de aplicaciones.

  • Forefront Protection for Exchange Server 2010 (FPE).
    • Provee protección en el tráfico del correo, contra amenazas tipo Virus, SPAM y archivos.
    • Contiene 5 motores de búsqueda, con lo que en una sola solución de antivirus contamos con protección de 5 motores de antivirus.
    • Integración con Exchange Server.
    • Escaneo selectivo por roles del servidor de Exchange y buzones.
    • Se puede generar políticas de filtrado de contenido para mantener evitar que los usuarios manden correos con palabras o documentos no autorizados.

forefront-protection-2010-for-exchange-configuring-key

  • Forefront Online Protection for Exchange (FOPE).
    • Servicio de suscripción en la nube.
    • Nos ayuda a tener protección en los buzones de correo antes de que lleguen a nuestro servidor de Exchange.
    • Cuenta con políticas de protección a nivel global y personalizadas.
    • Tiene una consola de administración web donde se pueden administrar el servicio.
    • Incluido en la suscripción E3 de Office 365.

logo-prod-fope2

  • Forefront Protection for SharePoint Server 2010 (FPSP).
    • Provee protección a la documentación contenida en nuestro SharePoint, contra virus y tipo de archivos.
    • Cuenta con los mismos 5 motores de antivirus que FPE.
    • Integración con SharePoint Server 2010.
    • Se puede generar políticas de filtrado de contenido para evitar que los usuarios generen o descarguen documentos con palabras o extensiones no permitidas.

image

  • Microsoft Forefront Security for Office Communications Server (FSOCS).
    • Aunque sigue siendo la versión 2007 puede ser integrado a OCS y a Lync.
    • Provee protección a los mensajes instantáneos que son enviados desde OCS y Lync contra virus, tipos de archivos y palabras.
    • Cuenta con los mismos 5 motores de antivirus que FPE y FPSP.
    • Se pueden generar políticas de filtrado de contenido para evitar que los usuarios envíen mensajes con palabras y archivos no permitidos.

thCA0540MO

  • Microsoft Forefront Protection Server Management Console 2010 (FPSMC).
    • Esta consola nos permite administrar de una forma centralizada las consolas de FPE, FPSP y FSOCS.
    • Con ella podemos centralizar las actualizaciones de los motores de antivirus y distribuirlas a los demás servidores.
    • Consola de tipo web.
    • Generación de perfiles de usuarios.

brandsPagesImages_msForefrontSecurityManagementConsole745x202

Capa Seguridad Perimetral.

  • Forefront Threat Management Gateway 2010 (TMG).
    • Firewall de tipo software.
    • Control de acceso a internet.
    • Contiene políticas de antivirus lo que nos permite evitar que los usuarios ingresen a sitios o descarguen archivos que se encuentran infectados.
    • Permite generar reglas para conexiones tipo VPN.

4606_logo-FF-TMG10b_thumb_195DA68F

  • Forefront Unified Access Gateway 2010 (UAG).
    • Control de acceso a recursos que se encuentran dentro de nuestra red corporativa.
    • Podemos generar políticas de acceso por Direct Access.
    • Nos permite controlar el acceso remoto.

6

  • Forefront Identity Manager 2010 (FIM).
    • Administrador de identidad y acceso.
    • Nos permite administrar el ciclo de vida de las credenciales, desde que son creadas hasta que son desactivadas.
    • Portal de autoservicio para el usuario, donde puede resetear su contraseña en caso de ser olvidada, o bien inscribirse a los grupos de seguridad o de distribución a los que deba de tener acceso de acuerdo a su rol.
    • Compatible con otras soluciones de terceros como Oracle, SAP, soluciones generadas en casa y soluciones Microsoft.

thCA21KHZK

Read Full Post »

Que tal como están?

Bueno pues para aquellas ocasiones en las cuales nuestros equipos se encuentran infectados de virus y siguiendo algunos foros para ver como los podemos quitar, nos indican que tenemos que entrar a nuestro equipo en Modo Seguro.

Porque entrar en modo seguro? Bien pues al momento de que iniciamos en modo seguro el equipo inicia con el mínimo de los servicios y procesos que cuando lo iniciamos en modo normal, lo cual nos permite eliminar aquellos archivos que se encuentran infectado y que se inician de forma automática en un inicio normal del equipo, es por ello que cuando estamos ejecutando nuestro equipo de forma normal y queremos eliminar algún virus que se ejecuta al momento de iniciar el equipo, el antivirus nos manda algún mensaje de error en el cual nos indica que no se puede eliminar el archivo porque esta en uso.

Bien para iniciar nuestro equipo en Modo Seguro lo que tenemos que realizar es lo siguiente:

  • Al momento que se esta iniciando el equipo y esta en el proceso de boteo, justo antes de que aparezca el logo de Windows, tendremos que presionar la tecla F8.
  • Esto nos mandara a la pantalla de inicio de Modo Seguro en la cual podemos seleccionar la opción deseada.

modo-seguro-windows

 

Ahora bien que opción seleccionar dentro de las tres que nos muestra? Todo dependerá de lo que necesitemos realizar, como comente al momento de que iniciamos nuestro equipo en Modo Seguro hay servicios que no se levantan, uno de ellos es el servicio de Red y en caso de que quisiéramos realizar un escaneo en línea para quitar el virus o requeramos descargar alguna herramienta que nos elimine el virus, podremos seleccionar Modo Seguro con funciones de Red.

La opción de Modo Seguro con Símbolo de Sistema, nos abrirá de forma automática la ventana de DOS para ejecutar algún comando necesario para realizar la eliminación de archivos o algún otro complemento que necesitemos ejecutar.

Cabe mencionar que el iniciar en Modo Seguro, no solamente funciona para eliminar virus, si no, también lo podemos utilizar para realizar otros procesos de recuperación de nuestro equipo.

Bueno espero que esto les sea de utilidad para poder solucionar algunos inconvenientes que se lleguen a presentar en su equipo.

Digg This

Read Full Post »

Desinstalar Peak Protection 2010

No se si recuerdan el Post anterior en el que hablaba de Security Essentials Falsos, si no pueden dar un vistazo aquí, pues bueno ahora me encontré con uno de los “antivirus” que según protegen nuestros equipos, pero en realidad son virus, su nombre “Peak Protection 2010”.

Este supuesto antivirus, afecta mucho el performance del equipo, ya que al momento de que ingresas a tu sesión, se ejecuta automáticamente, supuestamente haciendo un escaneo rápido del equipo pero lo único que hace es afectar el performance del equipo. Adicional a esto, hace configuraciones en el Regedit, las cuales no dejan hacer la instalación de otro Antivirus.

Bueno pues para removerlo tenemos que hacer las siguientes cosas.

Primero tendremos que entrar en modo prueba de fallos en nuestro sistema operativo, esto lo hacemos reiniciando la maquina y presionando F8 antes de que aparezca el logo de Windows.

Una vez dentro de la sesión, abrimos el administrador de tareas y detenemos cualquiera de estos proceso, no es necesario tener todos.

antispy.exe / defender.exe / tmp.exe / hotfix.exe

Una vez que se han detenido estos procesos entramos al Regedit, para hacer esto escribimos REGEDIT dentro de la opción de Inicio – Ejecutar.

Dentro del Regedit buscamos estas llaves

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “tmp”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce “SelfdelNT”
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon “Shell” = “%UserProfile%\Application Data\(Nombre del proceso que hayamos detenido)”

Adicional les recomiendo hacer una búsqueda dentro del Regedit con el nombre del proceso que hayan encontrado, esto para asegurar que hayamos eliminado todas las llaves que hacen referencia a este ejecutable.

Posteriormente debemos de eliminar lo que estén dentro de estas carpetas

Para XP

%UserProfile%\Application Data\PAV\
%UserProfile%\Application Data\antispy.exe
%UserProfile%\Application Data\defender.exe
%UserProfile%\Application Data\tmp.exe
%UserProfile%\Application Data\hotfix.exe
%UserProfile%\Local Settings\Temp\kjkkklklj.bat^

Para Windows Vista/7:

%UserProfile%\AppData\Local\antispy.exe
%UserProfile%\AppData\Local\defender.exe
%UserProfile%\AppData\Local\tmp.exe
%UserProfile%\AppData\Local\hotfix.exe

También es necesario revisar el archivo host que se encuentra en C:\Windows\System32\drivers\etc. Es posible que ahí encontremos el archivo modificado con varias rutas sobre todo de paginas de google, lo que esta haciendo ahí es decirle a nuestro equipo que cada vez que tratemos de entrar a www.google.com en lugar de dirigirnos hacia el servidor correcto, nos redirija a un servidor infectado, así que, este archivo puede tener muchas entradas, si no les deja eliminar estas entradas pueden eliminar el archivo.

Ojo para ver todos estos archivos es importante que habiliten en las Opciones de Carpeta, los siguientes puntos Ver archivos Ocultos y Mostrar archivos protegidos por sistema.

Con esto ya habrán eliminado este supuesto antivirus y podrán hacer la instalación de Microsoft Security Essentials o de Forefront Endpoint Protection.

Espero esto les sea de utilidad

Read Full Post »

Desde el día lunes esta llegando por un correo con el siguiente subjet Descarga la nueva aplicación de Windows Live 2010, adjunto imágenes del correo, ya que pide que bajemos el archivo Aplicación%2010.0.exe el cual al momento de descargarlo nos infecta con un Backdoor, específicamente el IRCbot.DJ. Les adjunto las pantallas para que tengan cuidado al momento de que les llega el correo.

30A7740B52195EC6_252_0[1]

30A7740B52195EC6_252_1[1]

30A7740B52195EC6_252_2[1]

30A7740B52195EC6_252_3[1]

Read Full Post »