McAfee SNS Notice: Special Remediation & Download for the Dat 5958 Issue

IF YOU ARE HAVING ISSUES RELATED TO DAT 5958, TWO IMPORTANT REMEDIATION SOLUTIONS ARE NOW AVAILABLE.

McAfee has TWO solutions to help you remediate any issues you may be experience due to the DAT 5958 issue.

SOLUTION #1 – McAfee SuperDAT Remediation Tool

The McAfee SuperDAT Remediation Tool suppresses the driver causing the DAT 5958 false positive by applying an Extra.dat file in c:\program files\commonfiles\mcafee\engine folder. It then restores the svchost.exe by looking first in %SYSTEM_DIR%\dllcache\svchost.exe, if not present it will attempt a restore from %WINDOWS%\servicepackfiles\i386\svchost.exe, if not present it will attempt a restore from quarantine. After the tool is run, the machine needs to be rebooted.

Recommended Recovery SuperDAT Procedure

1. From a machine that has Internet access, locate and download the Recovery SuperDAT at http://download.nai.com/products/mcafee-avert/tools/SDAT5958_EM.exe and save it to portable media.

2. Take the portable media to each affected machine and run the tool. If you are not able to run the tool on the affected machine, boot in safe mode

3. Execute the Recovery SuperDAT tool

4. Reboot in normal mode

5. Use the product update to update to DAT 5959 or later

SOLUTION #2 – McAfee Bootable ISO Image for Download (NEW)

If you have remote users and need to create your own bootable disk for distribution, you now can download the ISO image (135MB) to create a 5958 Recovery Tool disk.

To obtain a copy of this image, please go to http://my.mcafee.com/forms/2010-0426_DAT5958BootDiskEULA and complete the information requested. McAfee will immediately email you the link to a ZIP package containing the ISO image (135MB). NOTE: McAfee will be tracking download click-throughs for licensing purposes.

ADDITIONAL INFORMATION

How to Burn the McAfee 5958 Recovery Tool ISO to CD or DVD
https://kc.mcafee.com/corporate/index?elq_mid=2418&elq_cid=1978428&page=content&id=KB68831
McAfee 5958 Remediation – Using PXE network booting and WDS
https://kc.mcafee.com/corporate/index?elq_mid=2418&elq_cid=1978428&page=content&id=KB68815
False positive detection of w32/wecorl.a in 5958 DAT (for Corporate/Business users) – VirusScan Enterprise
https://kc.mcafee.com/corporate/index?elq_mid=2418&elq_cid=1978428&page=content&id=KB68780

Fonte: McAfee

Novo ataque usa falha sem correção do PDF e pendrives

Criminosos substituem os alertas do sistema por “clique aqui para visualizar o documento”; veja como proteger seu PC.

Várias empresas de segurança divulgaram alertas sobre um ataque em massa de programas nocivos, que utilizam como porta de entrada para os computadores uma vulnerabilidade ainda não corrigida do PDF.

Os usuários que abrem em seus computadores arquivos nesse formato podem infectar suas máquinas com com uma variante da praga virtual conhecida como Auraax ou Emold.


Para atingir suas vítimas, os criadores da ameaça enviaram milhares de e-mails, que chegam disfarçadas de mensagens enviadas pelo administrador da sua rede corporativa. “Elas afirmam que as configurações da conta de e-mail foram alteradas”, explica a pesquisadora da área de segurança da CA, Mary Grace Gabriel. Quem acredita no golpe, abre um PDF que teria as instruções para as novas configurações.

Na verdade, o PDF inclui programas nocivos embutidos. O golpe se aproveita da função /Launch para executar o malware em computadores com Windows que tenham versões atuais do Reader, Acrobat e outros visualizadores de PDF, como o Foxit Reader.

Para tornar o ataque mais efetivo, crackers (criminosos da Internet) descobriram uma maneira de alterar as mensagens de alerta exibidos quando o usuário tenta executar um PDF. Em vez de “abra apenas este arquivo se você souber que ele é seguro”, agora surgem textos como “clique em abrir para visualizar o documento”.

Pesquisadores da IBM afirmam que o malware instala programas que oferecem controle remoto da máquina, além de se replicar para todos os drives removíveis conectados ao computador, incluindo pendrives.

A Adobe afirmou que estuda a liberação de um update para acabar com essa brecha, em uma de suas atualizações trimestrais. Uma das soluções, enquanto isso, é desabilitar o recurso. A Adobe publicou um documento em seu site (em inglês) com instruções sobre o caso.

Também é recomendável desabilitar o Autorun no Windows para pendrives. Para saber como, basta clicar aqui.

Golpes baseados em apps do Facebook desafiam internautas

Convites aparentemente inocentes chegam por e-mail e são enviados do próprio Facebook. Por trás deles, no entanto, pode estar um app malicioso.

Eu recebi recentemente duas notificações de e-mail do Facebook que ativaram meu alarme interno de segurança. Não havia nada de escandalosamente errado com as mensagens, que diziam que um amigo havia marcado uma foto minha e feito um comentário sobre ela. Mas algo sobre uma referência a um aplicativo chamado “Who stalks into your profile” (algo como ‘quem persegue seu perfil’) simplesmente não parecia certo.

Decidi verificar. Vasculhei o cabeçalho do e-mail, para me certificar de que tinha sido mesmo enviado pelo Facebook – e tinha. Uma busca na web pelo nome do aplicativo não resultou em qualquer advertência. A página de instalação do app não me forneceu nenhuma dica óbvia. Mesmo assim, dei asas à paranoia, e examinei o aplicativo.

Estava certo. Era um golpe, e daqueles bem engenhosos. Quando alguém instala o suposto app perseguidor, ele primeiro cria uma montagem fotográfica com as fotos de seus amigos, e aplica comentários à montagem. Por sua vez, o Facebook inocentemente envia mensagens com o aviso de que “seu amigo marcou uma foto sua”, divulgando com empenho o aplicativo enganador, que foi criado para gerar receita com publicidade online ilícita.

Alvo preferido
Com seus milhões de usuários, o Facebook se tornou um grande alvo para espertalhões online que tentam distribuir apps maliciosos para tudo, de phishing a spam, ficando a um passo de instalar malwares mais perigosos em seu PC. De forma alguma o Facebook faz corpo mole diante dessas ameaças, e removeu o tal app um dia depois que recebi o e-mail enganador (e esta remoção incluiu também todas as instalações dos perfis de usuário).

Mas, como o Facebook deixa que qualquer um que tenha uma conta crie e distribua apps, os usuários devem ficar atentos contra os inevitáveis apps suspeitos que ainda estão por vir. Uma alternativa para o Facebook seria testar os programas antes de permitir que os usuários os adicionem, tal como a Apple faz com os apps do iPhone; mas o Facebook diz temer que tal restrição possa inibir a atmosfera livre e aberta que faz seu sucesso, e não tem quaisquer planos de mudar sua política.

Algumas medidas simples podem ajudá-lo a identificar, ou ao menos aliviar, as ameaças. Para iniciantes, o Facebook tem uma página de segurança – facebook.com/security (em inglês) – com conselhos e advertências sobre os golpes do momento. E seja especialmente meticuloso com qualquer app que peça algo que você normalmente não faz – como permitir que você veja quem está visitando seu perfil.

Ajuste as permissões
Para ajudar a se proteger de apps suspeitos de seus amigos feitos para capturar seus dados de perfil, entre no Facebook e consulte Conta, Configurações de Privacidade, e clique em Aplicativos e Sites. Então, clique na configuração de “O que seus amigos podem compartilhar sobre você” e desmarque qualquer informação que você não gostaria que um golpista visse. Tenha em mente que um app não pode coletar seu endereço de e-mail sem pedir primeiro sua permissão explícita: cuidado com o que você aprova.

Dicas como essas podem ajudar. Mas, no fim, nenhuma instrução simples pode efetivamente identificar todas as ameaças possíveis. E como os apps moram no site do Facebook, não há um arquivo no HD para passar por uma varredura ou enviar ao Virustotal.com.

Mas sempre há algo que se possa fazer. Se receber uma mensagem, um e-mail, ou mesmo um comentário de marcação de fotos tentando lhe empurrar um app que você gostaria de testar, mas não está certo sobre sua origem, largue-o lá por um ou dois dias. Nesse tempo, o Facebook poderá decidir removê-lo do sistema, em parte por causa de reclamações de usuários que não tiveram essa mesma paciência.

Fonte: IDG Now!

Industrialização chega aos crackers

SÃO PAULO – Um estudo feito pela Imperva aponta que os crackers estão passando por um processo de industrialização, causado pela demanda desses indivíduos.

De acordo com a empresa de segurança, a indústria do crime digital passa por uma fase de refinamento, que tem o objetivo de aumentar sua eficiência, escalabilidade e lucratividade.

O documento chega a definir funções para os diferentes tipos de criminosos, como os pesquisadores, responsáveis por localizar vulnerabilidades em programas e serviços, os fazendeiros, que cuidam do crescimento das botnets, e os negociadores, que fazem a distribuição do código malicioso.

“A emergente industrialização dos crackers é correspondente à maneira com que a revolução do século 19 avançou métodos e acelerou o processo de manufatura de um produto para a produção em massa”, aponta o comunicado da Imperva.

A companhia aponta um ataque coordenado aos domínios educacionais (.edu) como exemplo dessa “revolução industrial”.

“Este ataque contra instituições acadêmicas destaca como a atividade dos crackers se tornou industrializada, atingindo grandes instituições, incluindo UC Berkeley, Ohio State, entre outras. Ironicamente, esta técnica, que é o método mais prevalecente para criar caos no ciberespaço, ainda permanece virtualmente desconhecida do público em geral”, explica Amichai Shulman o CTO da Imperva.

Fonte: Info Online

Kaspersky Internet Security 2011 Beta Download

A few days ago we reported that Symantec started the public beta test for their 2011 security lineup. Windows users were able to download and test beta builds of both Norton Internet Security 2011 and Norton Antivirus 2011.

Kaspersky has also starting to publish public beta versions of Kaspersky Internet Security 2011 and Kaspersky Antivirus 2011 that users can download from their development servers.

The announcement was made on the Kaspersky forum and on Twitter. One of the moderators of the forum posted information about changes in the 2011 lineup of Kaspersky (translated from Russian).

Granular control of application rules
The product will now use both KSN and WoC (Wisdom of Crowd) ratings, when application information is gathered (including HIPS policies)
The product informs the user of the following:
-Path
-General Information
-Protection Status
-Date the application appeared first (WoC)
-KSN participants who have this application installed (WoC)
-Trust group levels of that application among KSN participants (WoC)
-Geographic information of the application distribution of KSN participants (WoC)

Smart Installer Mode
If the product has detected an error during install:
-The user will be informed of the potential infection and AVPTool download utility will be offered.
If the product detected previous home version key (for intance KAV found KIS):
-The product will suggest an alternative code to be installed or convert functionality on the fly (KIS KAV)
Single downloadable executable installer for both x32 and x64 bit versions.

Kaspersky Gadget
-Allows product launch if not started already
-Quick access to the program’s main window
-Launch On Demand Task for selected object (file, folder, registry), which dragable onto the gadget itself
-Read Kaspersky Labs news via news agent (linked syndications)
-Access to Safe Desktop

Parental Control — new features
-Game Control (age rating)
-P2P Control usage
-Email Control usage
-Social Networking Control
-Credit Card payment processor sites

Enhanced Rescue Disk
-The product will verify the image consistency
-Automatic signature update, if not actual
-Support for CD/DVD via built in interface
-Support for bootable USB flash card
-The product now desinfects startup entries, registry, ini files, not only files

Green Zone
-Safe Desktop (alternative mode for all secure user operations)
-Internet Zone (Red = KL reputation dangerous, Gray = No information or not enough data, Green = Safe resource)
-Geo Security (Block resources located in certain geographical areas if the user deems that visiting them is not needed)
-Sandbox v2.0 (will now separate browsers from other programs)

Malware Search
-Idle Scan (is launched when certain criterion are met and the computer is iddle – launch of resource demanding tasks such as updater, rootkit scanner, system area scan, when the user is not present)

System Watcher
-Collects and saves events from different product subsystems and helps perform analysis for suspicious activities.
-Alerts the user by providing the information needed to make an informed decisiom (interactive mode of operations)

Misc Items
-The product will support and differentiate non-latin symbols in URLs

A forum account is required to access the beta testing forum. The programs on the other hand can be downloaded without forum registration. The download contains both KAV 2011 and KIS 2011.

download: http://devbuilds.kaspersky-labs.com/devbuilds/11.0.0.187/

Long Available PAC Utility in Browsers Used in Cybercrime

According to Kaspersky researchers, Brazilian malware developers are employing a feature available for long in the most advanced browsers, with a purpose to launch attacks which redirect unwary victims onto malicious sites, even without their knowledge, as per the news published by infosecurity.com on April 14, 2010.

This long available feature is known as PAC (proxy auto config). This feature is now showing up in banking Trojans.

Fabio Assolini, a lab expert at Kaspersky, said that PAC is accepted by all latest Internet browsers. PAC has a utility to send browsers to a particular proxy server, as per the news published by infosecurity.com on April 14, 2010.

A proxy server is actually a computer which accesses the Internet on behalf of a computer user and provides it with the results. Often, systems administrators use these proxy servers as a gateway between the Internet and the computers of an organization. The PAC files are set on the machines of the client so that the Internet is always accessed through a protected gateway.

In addition, PAC are those files which contain the text of FindProxyForURL(), a single JavaScript utility. The JavaScript function is invoked by the Web browser every time a Web object or content is ready to be fetched. The browser is called on by two arguments: object’s URL as well as the hostname deduced from that URL.

Assolini said that it is unfortunate that Brazilian malware creators are extensively using this simple yet smart technique to forward infected victims to nasty hosts that serve phishing Web pages of financial institutions, as per the news published by infosecurity.com on April 14, 2010.

Assolini further said that a Trojan banker-infected user will be redirected to a phishing website which is hosted at the malevolent proxy server, if he attempts to access any of the websites that are listed in the script.

Not only this, even the securely designed browsers from bottom up, like Google’s Chrome, are vulnerable to this particular attack as it alters the file prefs.js in order to add a spiteful proxy before inserting a malicious dynamic link library (DLL) to always write the proxy again, in case it is removed.

Such an attack is an interesting edition on a more traditional redirection attack that includes the Windows Hosts file.

» SPAMfighter News – 27-04-2010

Kaspersky Lab host infosec student event in Poland

According to the Russian-headquartered IT security specialist, the event will bring together the winners from three preliminary rounds of a security competition held in Europe and Asia, as well as Russia and the Commonwealth of Independent States.

More than 100 students and professors from leading universities from around the world will take part in the conference, along with representatives from Kaspersky Lab’s headquarters/regional offices, the media and an invited audience.

During the conference, the plan is for students to present their research to a panel of judges consisting of Kaspersky Lab experts, professors and the event sponsors.

The panel will evaluate the students’ performance according to the social significance and relevance of the project; how practical and innovative it is; and their presentation skills.

The conference agenda also includes workshops led by Kaspersky Lab experts. The experts will answer questions and make recommendations regarding project follow-ups and talk about the latest developments plus techniques used to fight cybercrime.

Announcing the event, Svetlana Efimova, Kaspersky Lab’s head of educational programmes, said that the problem of cyberthreats is very acute all over the world.

“It is therefore important to be prepared for the cybercriminals’ next moves and to know how to resist them. That is the reason why Kaspersky Lab pays so much attention to the development of scientific and innovative research in this field”, she said.

“By holding conferences we provide an opportunity for enthusiastic young IT specialists and experts to exchange their experiences, knowledge and ideas”, she added.

Efimova went on to say that events like this provide broad opportunities for joint working, as well as assisting students to find their way in the world of IT security.

http://www.infosecurity-magazine.com/view/8996/kaspersky-lab-host-infosec-student-event-in-poland-/