INFORME EJECUTIVO

08 / 01 / 2007

Resumen ejecutivo
Fecha de comienzo auditora
07 / 09 / 2006 19:12

Fecha fin auditora

08 / 09 / 2006 09:34

Licencias contratadas: 300 Equipos auditados: 161 Elementos analizados: 703499 Equipos no finalizados: 19

Durante la auditora se ha realizado la busqueda con las siguientes tecnologas:

Signature-based detection, Genetic Kinship Clustering, Genetic Heuristic, Deep Code Inspection, Rootkit Heuristic

Y todos los resultados han sido analizados por PandaLabs y como consecuencia se ha obtenido el siguiente resultado:

Cdigo malicioso descubierto en su parque

Se ha encontrado cdigo malicioso de peligrosidad alta activo en su parque. El 13.4% de su parque tiene cdigo malicioso activo.

Nivel de Proteccin de su parque

El 100% de su parque no est adecuadamente protegido.

Cdigo malicioso descubierto

Cdigo malicioso activo
Peligrosidad Muy Alta Alta Moderada Baja Cdigos maliciosos 0 3 13 4 Equipos Infectados 0 3 9 11

Cdigo malicioso latente

Peligrosidad Muy Alta Alta Moderada Baja Cdigos maliciosos 0 8 52 10 Equipos Infectados 0 8 35 21

Fallos de seguridad
Proteccin de seguridad
Proteccin Equipos Cdigos maliciosos Activos 20 0 0 Latentes 70 0 0 Total 59 Equipos 134(94.4%) Cdigos maliciosos Activos Latentes 14 62

Vulnerabilidades

Deficiente 142(100%) Media 0(0%) Optima 0(0%)

Detalle del cdigo malicioso activo Cdigo malicioso muy peligroso

No se ha encontrado cdigo malicioso activo muy peligroso

Resto de cdigo malicioso activo

Equipos Infectados 19 Cdigos descubiertos 20 Elementos detectados 301

Clasificacin por tipo

Tipo Virus Gusano Troyano Spyware PPND Cd.Mal. 0 0 1 0 3 Tipo Adware Security Risk Hacking Tool Dialer Backdoor Cd.Mal. 15 0 0 0 1

Cdigo malicioso activo peligroso

Nombre Bck/Afcore.AS Adware/Maxifiles Adware/PurityScan Adware/Qoologic Adware/Zenosearch Tipo Backdoor Adware Adware Adware Adware Peligrosidad Alta Alta Moderada Moderada Moderada Equipos 1 1 2 1 1

Detalle del cdigo malicioso latente Cdigo malicioso muy peligroso

No se ha encontrado cdigo malicioso latente muy peligroso

Resto de cdigo malicioso latente

Equipos Infectados 48 Cdigos descubiertos 70 Elementos detectados 601

Clasificacin por tipo

Tipo Virus Gusano Troyano Spyware PPND Cd.Mal.

0 0 0 6 9

Tipo Adware Security Risk Hacking Tool Dialer Backdoor

Cd.Mal.

50 0 2 3
0

Cdigo latente peligroso

Nombre Spyware/Whazit Spyware/ClientMan Adware/DollarRevenue Adware/Secure32 Spyware/New.net Tipo Spyware Spyware Adware Adware Spyware Peligrosidad Alta Alta Alta Alta Alta Equipos 2 1 1 1 1

Cookies y jokes descubiertos

Equipos con cookies Cookies descubiertas Elementos detectados

24

30

No se han descubierto jokes en el equipo.

Estadsticas Cdigo malicioso ms encontrado en los equipos

Nombre Application/FunWeb Adware/Gator Application/MyWebSearch Adware/Gator.PTime Exploit/iFrame Tipo PPND Adware PPND Adware Hacking Tool Equipos 15 15 14 8 5 Peligrosidad Baja Moderada Baja Moderada Moderada

Equipos con ms cdigo malicioso

Peligrosidad Alta Moderada 3 1 0 0 0 13 9 6 3 1

Equipo PC 5 PC 4 PC 3 PC 2 PC 1

Muy Alta 0 0 0 0 0

Baja 2 0 6 0 3

Detalle de protecciones Protecciones de seguridad

Proteccin Deficiente Media Optima Equipos 142 0 0 Cod.Mal.descubierto 79 0 0

Equipos con proteccin deficiente

Causa Deficiencias en antivirus Deficiencias en antiSpyware Deficiencias en Firewall Deficiencias en HIPS Equipos 47 142 140 142

Detalle de vulnerabilidades
Vulnerabilidades que pueden permitir el acceso a cdigo malicioso

Equipos Sin vulnerabilidades Con vulnerabilidades 8 134

Porcentaje 5.6% 94.4%

Cod.Mal.descubierto 19 68

Recomendaciones

1. Desinfectar a continuacin de igual manera los equipos que albergan cdigo malicioso en
ejecucin. (PC 6, PC 2, PC 7, PC 8, PC 9, PC 10, PC 4, PC 11, PC 12, PC 13, PC 1, PC 14, PC 15, PC 16, PC 17, PC 18, PC 5, PC 19, PC 3).

2. Eliminar el cdigo malicioso latente (incluidas las cookies) de acuerdo al siguiente orden de
prioridad: En primer lugar los virus, gusanos, troyanos y spyware. En segundo lugar el adware, los hacking tool, PPNDs, dialers, jokes y cookies. As mismo, se recomienda priorizar los equipos que albergan ms cantidad de cdigo malicioso (PC 5, PC 4, PC 3, PC 2, PC 1, PC 20, PC 9, PC 21, PC 14, PC 11, PC 15, PC 22, PC 12, PC 6, PC 23, PC 17, PC 18, PC 24, PC 16, PC 25, PC 26, PC 27, PC 28, PC 29, PC 30, PC 31, PC 32, PC 33, PC 10, PC 34, PC 35, PC 8, PC 19, PC 36, PC 7, PC 37, PC 38, PC 39, PC 40, PC 41, PC 42, PC 43, PC 44, PC 45, PC 46, PC 47, PC 48, PC 49, PC 50, PC 13).

3. Para realizar la desinfeccin detallada se recomienda una de las dos siguientes opciones: Utilizar la
funcionalidad de desinfeccin integrada en la solucin de auditora de Panda o realizar un anlisis bajo demanda con el software de seguridad corporativo siempre y cuando detecte y elimine adecuadamente los cdigos maliciosos descubiertos (Para garantizar la desinfeccin debe al menos eliminar de manera genrica los virus, gusanos, troyanos, spyware, adware, jokes, cookies, hacking tools, PPNDs y dialers). En caso de que el software de seguridad corporativo no pueda eliminar el cdigo malicioso descubierto se recomienda distribuir otro software de seguridad que s lo elimine y realizar posteriormente dicho anlisis bajo demanda.

4. Se ha encontrado una cantidad elevada de cdigo malicioso en directorios temporales de Internet.

Esto puede indicar algn tipo de deficiencia tanto en la proteccin perimetral de la organizacin como en la propia de cada uno de los equipos. (En caso de funcionar adecuadamente alguna de ellas, dicho cdigo malicioso habra sido eliminado). En este sentido se recomienda comprobar que la proteccin perimetral est adecuadamente instalada y actualizada y, en caso contrario, realizar las modificaciones necesarias.

5. Se recomienda instalar una proteccin antivirus, antispyware, firewall y HIPS en la totalidad de

equipos en los que se ha identificado como insuficiente (Equipos con proteccin media o deficiente).En particular se recomienda revisar con especial detalle los equipos con cdigo malicioso activo (PC 6, PC 2, PC 7, PC 8, PC 51, PC 10, PC 4, PC 11, PC 12, PC 13, PC 1, PC 14, PC 15, PC 16, PC 17, PC 18, PC 5,PC 19, PC 3). As mismo, se recomienda priorizar la adecuada instalacin de software antivirus y antispyware en aquellos equipos que tienen proteccin deficiente para posteriormente instalar el Firewall e HIPS.

10

6. Se recomienda subsanar las vulnerabilidades identificadas instalando los parches adecuados.

11

Anexo I. Listados Equipos en los que se ha descubierto cdigo malicioso de peligrosidad muy alta

No se ha descubierto cdigo malicioso de peligrosidad muy alta

Equipos en los que se ha descubierto cdigo malicioso activo

PC 6 PC 8 PC 4 PC 13 PC 15 PC 18 PC 3 PC 2 PC 9 PC 11 PC 1 PC 16 PC 5 PC 7 PC 10 PC 12 PC14 PC 17 PC 19

Equipos en los que se ha descubierto cdigo malicioso latente

PC 42 PC 44 PC 22 PC 4 PC 26 PC 38 PC 15 PC 20 PC 3 PC 30 PC 27 PC 14 PC 28 PC 18 PC 10 PC 45 PC 47 PC 5 PC 29 PC 6 PC 23 PC 7 PC 8 PC 34 PC 24 PC 31 PC 1 PC 37 PC 16 PC 32 PC 39 PC 11 PC 48 PC 43 PC 12 PC 21 PC 2 PC 41 PC 46 PC 40 PC 51 PC 25 PC 36 PC 35 PC 17 PC 33 PC 50 PC 49

12

Equipos en los que se ha descubierto cdigo malicioso

PC 1 PC 21 PC 42 PC 43 PC 25 PC 37 PC 39 PC 27 PC 29 PC 48 PC 3 PC 17 PC 10 PC 45 PC 5 PC 20 PC 9 PC 6 PC 24 PC 36 PC 2 PC 14 PC 22 PC 40 PC 41 PC 47 PC 15 PC 8 PC 44 PC 18 PC 46 PC 4 PC 49 PC 13 PC 9 PC 35 PC 23 PC 38 PC 7 PC 7 PC 35 PC 28 PC 12 PC 16 PC 34 PC 50 PC 30 PC 31 PC 33 PC 32

13

Anexo II. Glosario

1. Estado de las protecciones del equipo: El nivel de la proteccin de un equipo puede ser: Proteccin ptima: El equipo cuenta con proteccin PIPS (Personal Intrusion Prevention System) activa y actualizada. Proteccin media: El equipo no dispone de Firewall o HIPS (Hosted Intrusion Prevention System), o bien stos no estn activos o actualizados, pero s cuenta con Antivirus y Antispyware y ambos estn activos y actualizados. Proteccin deficiente: Existe algn problema con el Antivirus o con el Antispyware. Bien porque no estn instalados, o porque no estn activos o actualizados. 2. Cdigo malicioso activo: 3. Cdigo malicioso latente: 4. Riesgo de la organizacin: Malware que est en ejecucin y realizando las acciones para las que ha sido programado. Malware que se encuentra dentro del sistema de archivos de un ordenador sin estar en ejecucin. Establecemos 4 posibles niveles de riesgo en la organizacin, atendiendo al malware detectado (cantidad y criticidad), las vulnerabilidades encontradas y el estado de las protecciones: Poner en riesgo la continuidad de la organizacin. Daar su posicin competitiva. Daar de manera muy grave la imagen/reputacin de la organizacin. Daar de manera muy grave la disponibilidad de los recursos (imposibilitando el trabajo de los empleados, el servicio al cliente, etc. En estos recursos est tanto la informacin en s como el resto de elementos que hagan uso de la misma). En este nivel no se tiene en cuenta el estado de las protecciones ni las vulnerabilidades dado que la criticidad del malware, su estado y su distribucin (si el malware es de peligrosidad muy alta ser necesaria menos distribucin para estar en este nivel de riesgo)

Riesgo severo:

14

son causa de este estado, independientemente de otros factores. Este nivel de riesgo exige una actuacin inmediata. Ejemplo: Una organizacin en que se identifique al menos 1 equipo con malware dirigido de tipo vrico o una organizacin en que algunos equipos tengan malware de peligrosidad muy alta y activo. Riesgo alto: El riesgo de una organizacin ser alto si la criticidad del malware, su estado, distribucin y ubicacin as como el estado de las protecciones y vulnerabilidades pueden por ejemplo: Generar un dao de manera temporal o de forma limitada en la disponibilidad de recursos (por ejemplo, saturacin temporal de las redes). Disminuir de manera considerable la productividad de la empresa. Este nivel es motivo de actuacin rpida, no necesariamente inmediata. Ejemplo: Una organizacin que tenga un considerable conjunto de equipos en el que el estado de las protecciones sea deficiente y que tenga malware activo o latente de criticidad grave o muy grave. Riesgo moderado: El riesgo en una organizacin ser moderado si la criticidad del malware descubierto, su estado, distribucin y ubicacin as como el estado de las protecciones y vulnerabilidades pueden: Provocar molestias leves o moderadas en la organizacin Disminuir de manera leve su productividad Este nivel es motivo de actuacin en corto plazo, no necesariamente de manera rpida o inmediata. Ejemplo: Una organizacin que albergue un considerable conjunto de equipos con adware activo o con malware vrico latente en menor medida con el estado de las protecciones medio o deficiente en algunos equipos. Riesgo normal: El riesgo en una organizacin ser normal cuando la

15

criticidad del malware descubierto, su estado, distribucin y ubicacin as como el nivel de proteccin y vulnerabilidades aun no siendo los ptimos se pueden considerar como aceptables y el dao que pueden provocar en la organizacin es prcticamente insignificante. Puede ser recomendable que la organizacin tome algunas medidas pero en ningn caso es necesario que sea de manera rpida o inmediata. Ejemplo: Una organizacin cuyos equipos tengan la proteccin ptima y sin malware o que alberguen cookies, jokes o adware no activo. 5. Vulnerabilidad: Una vulnerabilidad es un fallo en la programacin de una aplicacin cualquiera, y que puede ser aprovechado para llevar a cabo una intrusin en el ordenador que tenga instalado dicho programa. Puede servir de va de entrada para virus u otras amenazas. Por ello, es altamente recomendable aplicar los parches de seguridad ms recientes proporcionados por la empresa fabricante de la aplicacin. Distinguimos 4 grados de peligrosidad para el malware: Malware no destructivo, y que no posee caractersticas de instalacin, propagacin autnoma ni ocultacin en el sistema. Por ejemplo: jokes, hoaxes, cookies, etc. Amenazas de carcter general, no destructivas pero capaces de originar un dao limitado a su organizacin (virus que ralentizan el funcionamiento de sus equipos, programas que espan su navegacin por Internet, etc.) Amenazas de carcter general, capaces de originar un dao muy grave a su organizacin (virus que infectan sus documentos, troyanos que abren puertos de comunicacin con el fin de permitir ataques). Realiza daos muy graves, por su severidad o por su nmero. Amenazas de carcter especfico, ya sean destructivas o destinadas al robo de informacin, capaces de utilizar tcnicas avanzadas de ocultacin, infeccin o propagacin dentro de su organizacin (rootkits, targeted malware,). Malware que realiza daos crticos, por su severidad o por su nmero. Equipos de la organizacin en los que se ha distribuido

6. Peligrosidad: Peligrosidad Baja:

Peligrosidad Moderada:

Peligrosidad Alta:

Peligrosidad Muy Alta:

7. Equipos auditados:

16

el cliente de anlisis con el fin de realizar el proceso de auditora de los mismos. 8. Equipos no finalizados: Equipos en los que la auditora se ha iniciado pero no ha finalizado. (Puede ser debido a que se ha cerrado la auditora antes de que todos los equipos hayan finalizado). Se entiende por elemento tanto archivos (almacenados o en memoria), como correos (incluidos sus adjuntos). En el caso de comprimidos se contabilizarn tantos elementos como archivos albergue en su interior (incluido el propio archivo comprimido). En el caso de correos con adjuntos, se contabilizar el propio correo, as como cada uno de los adjuntos pueda el mismo tener.

9. Elementos:

17