Información sobre un nuevo programa maligno VBS.SETCH.

Se ha reportado al Laboratorio de Segurmatica un nuevo programa maligno cubano, escrito en Visual Basic Script que tiene la característica de que es polimórfico, por lo que el tamaño del archivo componente principal varia de una propagación a otra, aunque está en el rango de los 33 kbytes. El VBS.SETCH, modifica las llaves en el registro con el fin de ejecutarse, ocultarse y desactivar productos antivirus como Segurmatica Antivirus, NOD32 y KAV.
También desactiva el servicio spooler, afectando la posibilidad de impresión

Cuando se ejecuta, crea los siguientes ficheros en el directorio raíz de las unidades lógicas,
incluyendo soportes de almacenamiento móviles como flash y discos externos.

c:\autorun.inf
c:\mkg.vbs (archivo principal)
c:\Nuevos !!!.hta

asi como otros 2 en el directorio sistema y una carpeta creada por el, respectivamente:

c:\WINDOWS\system32\sethc.hta
c:\WINDOWS\system32\config...\setch.vbe

El fichero autorun.inf tiene el siguiente contenido:

[AUTORUN]
shell\open\command=wscript.exe mkg.vbs
shell\explore\command=wscript.exe mkg.vbs

El Segurmatica Antivirus lo detecta y descontamina, no así otros antivirus hasta el momento.

Regresar

Compruebe si su PC está infectada con el programa maligno Win32.Stuxnet

Buscar con el programa regedit las siguientes llaves del registro las cuales son creadas por el programa maligno:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MRxCls

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MRxNet

Si su PC está infectada , contacte de inmediato con Segurmatica. 878 2665 , 878 4080 , 83, 85 y 86 soporte@segurmatica.cu

El Segurmatica Antivirus detecta y descontamina esta amenaza desde el 13/7/2010. En www.segurmatica.cu puede consultar más información sobre el programa maligno Win32.Stuxnet

Regresar

Convocatoria de Informáticos

La Empresa de Consultaría y Seguridad Informática (Segurmática) oferta las siguientes plazas:

- Especialista C en Ciencias Informáticas. Grupo X salario escala $ 325.00 MN.
- Especialista General en Tecnologías de las Comunicaciones, la Electrónica, la Automática, y los Servicios Técnicos. Grupo X salario escala $ 325.00 MN.
- Especialista Superior en Tecnologías de la Información, las Comunicaciones, la Automática, la Electrónica y los Servicios Técnicos. Grupo XII salario escala $ 385.00 MN.
- Especialista General en tecnologías de la Información, las comunicaciones y la Electrónica. Grupo XI salario $ 365.00 MN.
- Contador B Grupo XI salario escala $ 365.0 MN.

Los requisitos iniciales son:

Ser Graduado universitario en carreras afines a las plazas que se ofertan
Dominio de idioma Inglés.

Segurmática está ubicada en zanja No. 651 esq. A Soledad, Centro Habana, Ciudad de la Habana con un horario de trabajo de 8:00 am a 5:30 pm.

La empresa se encuentra desde el 2001 en Perfeccionamiento Empresarial, y se paga por este concepto $ 105.00 M.N. adicional al salario básico.
Están aplicados los Sistema de Pago por Resultados y un Sistema de Estimulación en CUC.

El ambiente de trabajo es muy bueno, con condiciones superiores a los estándares de oficina (teléfono de pizarra, mobiliario individual, climatización, iluminación, limpieza, niveles de ruidos adecuados). Se realiza una actividad intelectual elevada con contacto visual en la computadora. Los especialistas disponen de computadoras individuales modernas, y también de servicios de correo, acceso a Internet y otros de acuerdo a las necesidades del trabajo.

Se anexa la planilla de solicitud que deberá, una vez llena, enviar al correo Barbara Maura
Teléfonos: 8703536 o 37

Regresar

Información a nuestros clientes

Estimado cliente:

Desde el 31/12/2009 cesó el soporte de Segurmatica Antivirus para Windows 9X por lo que ya no se está incluyendo información nueva en la actualización del producto para este sistema operativo. Al tratar de actualizar el producto Segurmatica Antivirus en Windows 9X este no funcionará correctamente. Esta medida fue anunciada a nuestros clientes y distribuidores con un año de antelación y se les explicó que la medida está avalada por el uso de varias tecnologías en la introducción de códigos en el antivirus y el uso de versiones nuevas de bibliotecas que impiden que el producto mantenga el soporte para Windows 9X.

Regresar

Notificación a nuestros clientes

Estimado cliente:
Nuestro sitio web ha presentado algunos problemas técnicos que están en vías de solución inmediata por lo que usted puede tener dificultades en el momento de descargar la actualización para nuestros productos o cualquier información desde nuestro sitio. Le pedimos disculpas por las molestias ocasionadas y le sugerimos ante cualquier dificultad se dirija a soporte@segurmatica.cu o nos contacte mediante los teléfonos 870-3536 ext. 133 a 136.
Atentamente,
Grupo de Soporte Técnico.

Regresar

Atención parche para SegAV 1.35

Estimado Cliente

Como usted ha podido apreciar en los últimos años, el incremento en la aparición de nuevos programas malignos, es notable, lo cual debe continuar.

En consecuencia la base para detectar a los mismos crecerá en la misma proporción, ello implica por supuesto mayores dificultades para los clientes en la actualizacion.

Con el objetivo de minimizar el tiempo consumido en la actualizacion y buscar un mecanismo que permita incluir en la base nuevas detecciones,
Segurmatica pone a disposición de sus clientes un parche para la versión 1.35 la cual usted debe instalar de inmediato.

Para ello baje y ejecute el fichero SegAV135Update.exe que se encuentra a disposición aquí.

Por favor necesitamos que cuando haya ejecutado la acción, envíe un mensaje a la cuenta de soporte@segurmatica.cu indicando el número de su contrato y que ya fue instado el parche.

Es importante que nos envíe el correo ya que para que esta facilidad tenga efecto se debe cambiar en el sitio el formato de la base de actualizacion y esto será posible cuando todos nuestros clientes hayan instalado el parche.

Regresar

EVENTO NACIONAL DE SEGURIDAD EN LAS TECNOLOGÍAS DE LA
INFORMACIÓN 2010.
Del 17 al 19 de Noviembre

El Evento Nacional de Seguridad Informática es una de las principales actividades a desarrollar por el XV Aniversario de Segurmatica y constituye una oportunidad de capacitación que permite el intercambio de experiencias entre los especialistas nacionales, convirtiéndose en una excelente oportunidad para realizar contactos de cooperación y para recibir las mejores prácticas en la temática. Este Evento se realiza previo a Informática 2011, con el objetivo de seleccionar las ponencias nacionales que se expondrán presencial o virtualmente, en el X Seminario Iberoamericano de Seguridad en las TIC.

LUGAR:
Dirección: Zanja No.651 esquina a Soledad
Centro Habana, Ciudad de La Habana, Cuba
Teléfonos: pizarra 878- 4085 y 86 ext.101.

Solicitud de Participación

Apellidos:______________________________
______________________________________
Nombres:______________________________
Institución:______________________________

Teléfonos:______________________________
Fax:___________________________________
E-mail:________________________________
Web:http://_____________________________

Deseo participar como:

Ponente

Delegado

CUOTAS DE INSCRIPCIÓN:

Delegado: 300.00 MN

Ponente: 100.00 MN

El pago se hace a través de cheque a nombre de: EES SEGURMATICA

TEMATICAS

1. ANTIVIRUS.
Desarrollo de antivirus. Comportamiento del Malware y de los programas Antivirus. Captura, análisis y estadísticas de Programas Malignos.
2. SEGURIDAD EN LAS REDES Y APLICACIONES.
Seguridad en el desarrollo de Aplicaciones. Enfoque Tecnológico de la Protección de la información que se procesa en las TIC, seguridad en servidores, servicios y dispositivos de redes. Seguridad con soluciones de código abierto.
3. GESTIÓN Y AUDITORIA DE LA SEGURIDAD.
Normativas, metodologías, estándares, informática forense, aspectos éticos y legales de la Seguridad Informática.
4. CRIPTOGRAFÍA

AUSPICIAN EL SEMINARIO
• Ministerio de Informática y Comunicaciones.
• Oficina Nacional de Seguridad de Redes
• CUJAE
• SEGURMATICA
• UCI
• Oficina Nacional de Informatización.
• Contraloría General de la República de Cuba
• Oficina de Seguridad para Redes Informáticas

COMITE ORGANIZADOR DEL SEMINARIO:
Presidente
Lic. José Bidot Peláez
Director General de Segurmatica.
Vicepresidente
Lic. Orlando Vasallo Prieto, Director Técnico Comercial, Segurmatica.

COMITÉ CIENTÍFICO

Presidente :
MsC. Jorge Lodos Vigil
Director de Desarrollo de Segurmatica.

Miembros:
Dr. Walter Baluja García. Decano Facultad de Ingeniería Eléctrica, ISPJAE
Ing. Edgar Guadis Salazar,Especialista Principal del Laboratorio de Segurmatica
Lic. Gonzalo García Pierrat
Director Organización y Control OSRI
Lic. Rolando López Paz , Director TIC ,Contraloría General de la Republica de Cuba
Ing. Lázaro Acosta Sigler, Especialista Superior de Seguridad Informática MIC.
Ing. Raydel Montesino Perurena, Director de Seguridad y Redes, UCI.

Contactar :
Teléfonos: pizarra 8784085-86 ext.101,
Correo: evento_nacional@segurmatica.cu
Sitio Web: www.segurmatica.cu

PRESENTACION DE PONENCIAS

La fecha límite para la presentación de las ponencias será el 30 de Octubre del 2010.
1. Los trabajos deben entregarse en ficheros compatibles con formato de documento abierto.
2. Límite de 10 hojas.
3. El tamaño de la hoja será tipo carta (8,5¨ x 11¨ ó 21.59 cm. x 27.94 cm.)con márgenes de 2 cm. por cada lado y escrito a dos columnas.
4. Deberá utilizarse tipografía Arial, a 11 puntos para los encabezados y a 10 puntos para los textos, con un interlineado sencillo.
5. Se redactará en los idiomas del evento (español o inglés).

ESTRUCTURA DE LOS TRABAJOS.
EVENTO NACIONAL DE SEGURIDAD EN LAS TECNOLOGÍAS DE INFORMACIÓN 2010.
- Título
- Título (en inglés)
- Autor y coautores.
- Afiliación y datos de contactos.
- Resumen y Palabras Claves (en español y en inglés)
- Introducción
- Metodología
- Resultados (puede fusionarse con la Discusión y formar el acápite Resultados y Discusión)
- Discusión
- Conclusiones
- Agradecimientos (opcional)
- Referencias bibliográficas

Para facilitar la elaboración de su trabajo descargue la plantilla que ponemos a su disposición en el sitio www.segurmatica.cu, y sustituya sus textos. .doc., .docx, .odt. Se muestra un ejemplo de ponencia.

PROCEDIMIENTO DE ENVÍO: Los trabajos se enviarán por correo electrónico a la dirección: evento_nacional@segurmatica.cu.

Regresar

Programa Maligno Stuxnet

Desde la segunda semana de julio se encuentra circulando en nuestro país un nuevo programa maligno, conocido por la mayoría de los fabricantes de AV como Stuxnet. Existen evidencias indirectas de que se encuentra circulando en redes globales al menos desde marzo, a partir de reportes de sus efectos en diferentes fórums. Este programa maligno tiene varias características interesantes:

1. Se transmite a través de memorias flash pero sin usar autorun.inf.

2. Se instala como drivers que se activan cuando inicia el sistema.

3. Sus ficheros principales están firmados digitalemente.

4. Tiene actividad de rootkit.

Para transmitirse usando memorias flash explota una vulnerabilidad desconocida hasta ese momento, que causa que el Windows ejecute enlaces presentes en ficheros de tipo lnk malformados. En el caso de este programa maligno se trata de un fichero con formato correspondiente a una applet del panel de control (extensión cpl). La vulnerabilidad se explota cuando el sistema operativo trata de mostrar el icono correspondiente al enlace dentro del fichero lnk.

Una vez ejecutado el programa maligno, este instala 2 drivers que no necesitan reiniciar para comenzar su trabajo. Simultaneamente se crean 2 ficheros con contenido cifrado que contienen la funcionalidad real del programa maligno. Uno de los drivers es responsable de ocultar los ficheros malignos de las aplicaciones del sistema operativo, por ejemplo, el explorer. El otro driver inyecta código en los procesos del sistema svchost.exe y services.exe, por lo que no existe ningún nuevo proceso creado por este programa maligno.

Es interesante que los drivers están firmados digitalmente con un certificado de la compañía Realtek. Esto significa que el autor del programa maligno tuvo acceso a la llave privada de este certificado, un secreto supuestamente muy bien guardado. Es interesante también que la fecha de la firma digital es de enero del 2010, lo que significa que estos drivers están listos desde esa fecha. El certificado expiro el 6/6/2010, 5 meses después de usarse para la firma del programa maligno. Adicionalmente fue revocado por Verisign ante la actividad maligna demostrada.

Los ficheros de este programa maligno contienen cadenas que hacen pensar que esta diseñado para conectarse a sistemas SCADA de la empresa SIEMENS, no queda claro con que fin. La funcionalidad completa del programa maligno todavía no ha sido estudiada. El driver que oculta los ficheros tiene errores que hace que dejen de funcionar algunos otros drivers, por ejemplo, el que instala Rational Clearcase. Los fallos en aplicaciones que usen drivers como filtros para sistemas de archivo y/o svchost.exe pueden ser síntomas de infecciones con este programa maligno, que por demás pasa completamente inadvertido.

Segurmatica Antivirus detecta y descontamina esta amenaza desde el 13/7/2010.

Datos técnicos:

Llaves principales del registro creadas:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MRxCls

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MRxNet

Ficheros creados en el sistema:

%SystemRoot%\inf\oem6c.pnf

%SystemRoot%\inf\oem7a.pnf

%SystemRoot%\inf\mdmcpq3.pnf

%SystemRoot%\inf\mdmeric3.pnf

%SystemRoot%\System32\drivers\mrxnet.sys

%SystemRoot%\System32\drivers\ mrxcls.sys

Ficheros creados en la raíz de una memoria flash al infectarla:

Copy of Copy of Copy of Copy of Shortcut to.lnk

Copy of Copy of Copy of Shortcut to.lnk

Copy of Copy of Shortcut to.lnk

Copy of Shortcut to.lnk

~WTR4132.tmp

~WTR4141.tmp

Regresar

Se anuncian las programaciones de adiestramientos para el mes de Septiembre y Octubre del 2010. Las solicitudes de matriculas se reciben por los teléfonos: 878-1987, 870-3536-38, 8784085-86 ext 101.

Regresar