NUEVA VERSION DE ELIPEN 2.0, que subsana el Zeroday de la autoejecución de los .LNK en unidades extraibles. —OJO—>***sustituida por 2.1, segun se indica al final***

 SUSTITUIDA POR VERSION 2.1…   VER NOTA AL FINAL, (sustituida 2.0 por 2.1, que requiere parámetro opcional /LNK)

A  la espera del parche de Microsoft que corrija la vulnerabilidad de la autoejecución de los .LNK en los dispositivos USB,  implementamos en la utilidad ELIPEN, a partir de la versión 2.0 , las correcciones que indica Microsoft se efectuen para subsanar el problema.

_______

Microsoft ha publicado un alerta reconociendo la vulnerabilidad y recomendando estas contramedidas:

* Poner en blanco el valor predeterminado (default) de la rama del registro:
HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler

* Detener y deshabilitar el servicio “cliente web” (WebClient).

_______
Por ello recomendamos descargar la nueva versión del ELIPEN 2.0 que contemplará dichas acciones y evitará se autoejecute dicho malware de esta novedosa forma que no utiliza el AUTORUN.INF, por lo que las anteriores protecciones contra la propagación de virus de pendrive (incluida las de los ELIPEN anteriores a la 2.0) eran saltadas por el nuevo método.

Evidentemente ello debe ejecutarse en cada ordenador, aunque tuviera instalado ya el ELIPEN, pero a los pendrives solo hace falta si no habían sido antes vacunados con otro ELIPEN.

Al mismo tiempo, a partir del ELISTARA de hoy, 21.40, se pedirán muestras de los ficheros del primer troyano que aprovecha dicha vulnerabilidad, el STUXNET, moviendo a la carpeta  C:\MUESTRAS\ los ficheros en cuestión, si los hubiera:

c:\windows\system32\drivers\mrxnet.sys

c:\windows\system32\drivers\mrxcls.sys

Con lo que quedará aparcado dicho malware, pidiendo el envio de muestras para analizar y controlar en versiones posteriores.
Se recuerda que esto se hace a raiz de la aparición de un ZERODAY que permite autoejecutar los .LNK de las unidades extraibles, y que ya ha sido aprovechado por el STUXNET, que además, es un RootKit, y aparte de usar dicha nueva técnica, emplea ficheros con firma digital de Realtek (firma que entre Microsoft y Realtek ya han dado de baja en VeriSign)

Según lo que haga Microsoft con el parche que realizará al respecto, veremos si procederá mantener en el futuro dichas modificaciones en el registro, ya que si no provoca transtornos, puede ser conveniente dejarlo en previsión de los usuarios que no apliquen dicho parche…

Y por último, reconocer que este fin de semana las casas antivirus han hecho los deberes, pues ya son un 70 % los que lo controlan, segun analisis del VirusTotal. Lo único que hace falta saber es si tambien lo detectan con el RootKit en memoria…

saludos

ms, 19-7-2010

La operativa en cuestión será aplicada solo en los sistemas operativos en castellano, que es para los sistemas para los que desarrollamos nuestras utilidades.

NOTA FINAL:

Se ha observado que tras hacer lo indicado por Microsoft, los iconos de acceso directo de la barra de inicio, han perdido su dibujo, si bien siguen funcionando normalmente, igual que los accesos directos del escritorio.

Para recuperar dichos iconos, simplemente ejecutar ELIPEN /REMOVE  y refrescando la pantalla se volverán a tener, pero claro, sin la protección en cuestion.

Como sea que no nos han gustado las consecuencias del sistema propuesto por Microsoft, solo lo ofreceremos opcionalmente, para lo cual se deberá entrar ELIPEN /LNK  e igualmente si se quiere restaurar las claves originales, con el mismo ELIPEN /remove indicado, se restaurarán.

Ello vendrá implementado en la 2.1 que sustituirá a todos los efectos a la 2.0, que queda anulada.

saludos

ms, 19-7-2010