MDT

Norrtäljeskola en av 80 skolor i världen att utses till mentorskola

The Deployment Guys - Mon, 11/18/2013 - 10:07
 Som en av 80 skolor i världen, och som enda svenska skola, utses Rodengymnasiet i Norrtälje kommun till mentorsskola i Microsofts internationella utbildningssatsning.   -        Rodengymnasiet använder inte bara teknik i skolan på ett innovativt sätt. De har också fått utmärkelsen för sin passion för innovativt lärande och för att man på ett föredömligt sätt på ett strategiskt vis bygger hållbar skolutveckling i vardagen, säger Eva Pethrus, ansvarig för Partnerskap i Lärande på Microsoft.   -        Vi är mycket glada över utmärkelsen! Våra duktiga lärare har alla hjälpts åt för att göra detta möjligt, säger Katarina Björk, rektor på Rodengymnasiet.   Utnämningen innebär att lärare, elever och skolledare på Rodengymnasiet kommer att delta i internationella nätverk och kompetensutveckling som Microsoft anordnar. De får bland annat en inbjudan till Microsofts utbildningsforum i Barcelona i mars, för att dela med sig av sina lärdomar och inspireras av andra.   Microsoft har utsett 80 mentorsskolor som representerar ledarskap och innovation i klassrummet, och som är fast beslutna att förbereda eleverna för 21st Century Learning. 250 mentorsskolor var nominerade från 75 länder.   Ytterligare information om Microsofts syn på utbildning och vad som görs för att stötta lärande runtom i världen finns i Anthony Salcitos blogginlägg.   Kontakt: Katarina Björk Rektor, Rodengymnasiet 0176-717 64
Categories: MDT

Varför jobbar inte du hemma idag?

Microsoft Deployment Toolkit Team Blog - Mon, 11/18/2013 - 07:45

Det var precis vad vi frågade stockholmarna i morgonrusningen! Som en start på nedräkningen till nästa års Jobba hemma dag ville vi ta del av stockholmarnas tankar kring att jobba hemma. Sedan bad vi våra främsta experter ge sina bästa råd hur man kan lösa de utmaningar som uppstår med hemmaarbete.

Företagskultur och ledarskap
Ett hinder för att jobba hemma kan vara förknippat med företagskultur och ledarskap. Synen på att jobba hemma är likställt med en dag utan produktivt jobb. Det är en av anledningarna till att många väljer att resa till och från och jobbet varje dag. Trots att det i teorin är okej att jobba hemma enligt företagspolicyn. 
(Please visit the site to view this video)

Verktygen som gör det möjligt att jobba överallt
Med de verktyg många av oss har idag kan nästan alla jobba utanför kontoret. Det viktiga är egentligen inte var vi jobbar utan att vi får jobbet gjort. Vi måste alla testa oss fram och hitta det sätt som passar oss bäst för jobba produktivt. 
(Please visit the site to view this video)

Få ihop livets alla delar genom möjligheten att jobba hemma
Att jobba hemma eller utanför kontoret ibland kan hjälpa oss att få ihop livspusslet. Vi kan spara tid genom att slippa restiden eller vara hemma för att emot hantverkare under arbetstid. Att minska resandet är inte bara en vinst för den enskilda personen utan också för miljön och samhället.
(Please visit the site to view this video)

Jobba hemma-dagen är ett initiativ från Microsoft som manifesterar fördelarna med flexibelt arbete. Ett flexibelt kontorsarbete har fördelar för såväl företag som medarbetare – det ger ökad produktivitet och enklare vardag.

Läs mer, gör testet med tidspararen och anmäl ditt företag till Jobba hemma dagen 2014!

Categories: MDT

Varför jobbar inte du hemma idag?

The USMT team blog - Mon, 11/18/2013 - 07:45

Det var precis vad vi frågade stockholmarna i morgonrusningen! Som en start på nedräkningen till nästa års Jobba hemma dag ville vi ta del av stockholmarnas tankar kring att jobba hemma. Sedan bad vi våra främsta experter ge sina bästa råd hur man kan lösa de utmaningar som uppstår med hemmaarbete.

Företagskultur och ledarskap
Ett hinder för att jobba hemma kan vara förknippat med företagskultur och ledarskap. Synen på att jobba hemma är likställt med en dag utan produktivt jobb. Det är en av anledningarna till att många väljer att resa till och från och jobbet varje dag. Trots att det i teorin är okej att jobba hemma enligt företagspolicyn. 
(Please visit the site to view this video)

Verktygen som gör det möjligt att jobba överallt
Med de verktyg många av oss har idag kan nästan alla jobba utanför kontoret. Det viktiga är egentligen inte var vi jobbar utan att vi får jobbet gjort. Vi måste alla testa oss fram och hitta det sätt som passar oss bäst för jobba produktivt. 
(Please visit the site to view this video)

Få ihop livets alla delar genom möjligheten att jobba hemma
Att jobba hemma eller utanför kontoret ibland kan hjälpa oss att få ihop livspusslet. Vi kan spara tid genom att slippa restiden eller vara hemma för att emot hantverkare under arbetstid. Att minska resandet är inte bara en vinst för den enskilda personen utan också för miljön och samhället.
(Please visit the site to view this video)

Jobba hemma-dagen är ett initiativ från Microsoft som manifesterar fördelarna med flexibelt arbete. Ett flexibelt kontorsarbete har fördelar för såväl företag som medarbetare – det ger ökad produktivitet och enklare vardag.

Läs mer, gör testet med tidspararen och anmäl ditt företag till Jobba hemma dagen 2014!

Categories: MDT

Varför jobbar inte du hemma idag?

Det var precis vad vi frågade stockholmarna i morgonrusningen! Som en start på nedräkningen till nästa års Jobba hemma dag ville vi ta del av stockholmarnas tankar kring att jobba hemma. Sedan bad vi våra främsta experter ge sina bästa råd hur man kan lösa de utmaningar som uppstår med hemmaarbete.

Företagskultur och ledarskap
Ett hinder för att jobba hemma kan vara förknippat med företagskultur och ledarskap. Synen på att jobba hemma är likställt med en dag utan produktivt jobb. Det är en av anledningarna till att många väljer att resa till och från och jobbet varje dag. Trots att det i teorin är okej att jobba hemma enligt företagspolicyn. 
(Please visit the site to view this video)

Verktygen som gör det möjligt att jobba överallt
Med de verktyg många av oss har idag kan nästan alla jobba utanför kontoret. Det viktiga är egentligen inte var vi jobbar utan att vi får jobbet gjort. Vi måste alla testa oss fram och hitta det sätt som passar oss bäst för jobba produktivt. 
(Please visit the site to view this video)

Få ihop livets alla delar genom möjligheten att jobba hemma
Att jobba hemma eller utanför kontoret ibland kan hjälpa oss att få ihop livspusslet. Vi kan spara tid genom att slippa restiden eller vara hemma för att emot hantverkare under arbetstid. Att minska resandet är inte bara en vinst för den enskilda personen utan också för miljön och samhället.
(Please visit the site to view this video)

Jobba hemma-dagen är ett initiativ från Microsoft som manifesterar fördelarna med flexibelt arbete. Ett flexibelt kontorsarbete har fördelar för såväl företag som medarbetare – det ger ökad produktivitet och enklare vardag.

Läs mer, gör testet med tidspararen och anmäl ditt företag till Jobba hemma dagen 2014!

Categories: MDT

Varför jobbar inte du hemma idag?

The Deployment Guys - Mon, 11/18/2013 - 07:45

Det var precis vad vi frågade stockholmarna i morgonrusningen! Som en start på nedräkningen till nästa års Jobba hemma dag ville vi ta del av stockholmarnas tankar kring att jobba hemma. Sedan bad vi våra främsta experter ge sina bästa råd hur man kan lösa de utmaningar som uppstår med hemmaarbete.

Företagskultur och ledarskap
Ett hinder för att jobba hemma kan vara förknippat med företagskultur och ledarskap. Synen på att jobba hemma är likställt med en dag utan produktivt jobb. Det är en av anledningarna till att många väljer att resa till och från och jobbet varje dag. Trots att det i teorin är okej att jobba hemma enligt företagspolicyn. 
(Please visit the site to view this video)

Verktygen som gör det möjligt att jobba överallt
Med de verktyg många av oss har idag kan nästan alla jobba utanför kontoret. Det viktiga är egentligen inte var vi jobbar utan att vi får jobbet gjort. Vi måste alla testa oss fram och hitta det sätt som passar oss bäst för jobba produktivt. 
(Please visit the site to view this video)

Få ihop livets alla delar genom möjligheten att jobba hemma
Att jobba hemma eller utanför kontoret ibland kan hjälpa oss att få ihop livspusslet. Vi kan spara tid genom att slippa restiden eller vara hemma för att emot hantverkare under arbetstid. Att minska resandet är inte bara en vinst för den enskilda personen utan också för miljön och samhället.
(Please visit the site to view this video)

Jobba hemma-dagen är ett initiativ från Microsoft som manifesterar fördelarna med flexibelt arbete. Ett flexibelt kontorsarbete har fördelar för såväl företag som medarbetare – det ger ökad produktivitet och enklare vardag.

Läs mer, gör testet med tidspararen och anmäl ditt företag till Jobba hemma dagen 2014!

Categories: MDT

Golfanläggningar lyfter med molnet

Microsoft Deployment Toolkit Team Blog - Mon, 11/18/2013 - 03:31

Golfservices Norden arbetar sedan starten 2011 med att ge golfanläggningar nöjdare medlemmar samt att öka anläggningarnas lönsamhet. För att detta ska vara möjligt är en väl fungerande IT-plattform en förutsättning.

Golfservices har valt att erbjuda golfanläggningarna Office 365 eftersom det ger både lägre driftkostnader och enklare hantering för anläggningarna.

- Golfservice erbjuder golfanläggningarna analysstöd, utbildningsstöd och support. Många av anläggningarna har ett nätverk med upp till tio år på nacken. Det är både kostsamt och tidskrävande menar Carl-Johan Ekman, vd på Golfservices Norden.

För att kunna erbjuda anläggningarna den bästa IT-plattformen gjorde Golfservice under 2012 en undersökning för att se vilka leverantörer och produkter som fanns på marknaden.

- Det viktigaste var att lösningen bidrog till att främja lönsamhet, kommunikation och kunde fungera som en grund för vårt koncept. Microsoft Office 365 möter de krav som vår BI-plattform ställer. Med Office 365 kan användarna dela information och få tillgång till lösningen via telefoner, plattor och datorer. Det är precis vad vi vill erbjuda så det var en bra matchning, fortsätter Carl Johan Ekman.

Intresset för Golfservice har ökat sedan de började erbjudande Office 365, enligt Carl-Johan Ekman uppskattas konceptet och anläggningarna köper tjänster i högre utsträckning än förr.

- Men även kalkylen lockar. Att köra Office 365 kostar under 250 kronor per månad och användare för en anläggning, vilket kan jämföras med de 60 000 kronor som en ny server kostar med uppsättning och underhåll. Med elkostnader blir det en kostnad på cirka 2 500 kronor i månaden, påpekar Carl-Johan Ekman.

It-företaget Allieros introducerade Office 365 för Golfservice. För Alliero är det ett naturligt val av IT-plattform.

- Lösningen ligger i molnet och man slipper det extra jobb som egna servrar kan innebära. Det blir lättare att interagera med andra i affärssystemet vilket leder till effektivisering, säger Allieros Tobias Lindstedt. Dessutom leder det till en minskad miljöpåverkan eftersom elförbrukningen minskar.

 Läs mer om varför Golfservices Norden erbjuder Office 365 till golfanläggningar i Norden

Categories: MDT

Golfanläggningar lyfter med molnet

The USMT team blog - Mon, 11/18/2013 - 03:31

Golfservices Norden arbetar sedan starten 2011 med att ge golfanläggningar nöjdare medlemmar samt att öka anläggningarnas lönsamhet. För att detta ska vara möjligt är en väl fungerande IT-plattform en förutsättning.

Golfservices har valt att erbjuda golfanläggningarna Office 365 eftersom det ger både lägre driftkostnader och enklare hantering för anläggningarna.

- Golfservice erbjuder golfanläggningarna analysstöd, utbildningsstöd och support. Många av anläggningarna har ett nätverk med upp till tio år på nacken. Det är både kostsamt och tidskrävande menar Carl-Johan Ekman, vd på Golfservices Norden.

För att kunna erbjuda anläggningarna den bästa IT-plattformen gjorde Golfservice under 2012 en undersökning för att se vilka leverantörer och produkter som fanns på marknaden.

- Det viktigaste var att lösningen bidrog till att främja lönsamhet, kommunikation och kunde fungera som en grund för vårt koncept. Microsoft Office 365 möter de krav som vår BI-plattform ställer. Med Office 365 kan användarna dela information och få tillgång till lösningen via telefoner, plattor och datorer. Det är precis vad vi vill erbjuda så det var en bra matchning, fortsätter Carl Johan Ekman.

Intresset för Golfservice har ökat sedan de började erbjudande Office 365, enligt Carl-Johan Ekman uppskattas konceptet och anläggningarna köper tjänster i högre utsträckning än förr.

- Men även kalkylen lockar. Att köra Office 365 kostar under 250 kronor per månad och användare för en anläggning, vilket kan jämföras med de 60 000 kronor som en ny server kostar med uppsättning och underhåll. Med elkostnader blir det en kostnad på cirka 2 500 kronor i månaden, påpekar Carl-Johan Ekman.

It-företaget Allieros introducerade Office 365 för Golfservice. För Alliero är det ett naturligt val av IT-plattform.

- Lösningen ligger i molnet och man slipper det extra jobb som egna servrar kan innebära. Det blir lättare att interagera med andra i affärssystemet vilket leder till effektivisering, säger Allieros Tobias Lindstedt. Dessutom leder det till en minskad miljöpåverkan eftersom elförbrukningen minskar.

 Läs mer om varför Golfservices Norden erbjuder Office 365 till golfanläggningar i Norden

Categories: MDT

Golfanläggningar lyfter med molnet

Golfservices Norden arbetar sedan starten 2011 med att ge golfanläggningar nöjdare medlemmar samt att öka anläggningarnas lönsamhet. För att detta ska vara möjligt är en väl fungerande IT-plattform en förutsättning.

Golfservices har valt att erbjuda golfanläggningarna Office 365 eftersom det ger både lägre driftkostnader och enklare hantering för anläggningarna.

- Golfservice erbjuder golfanläggningarna analysstöd, utbildningsstöd och support. Många av anläggningarna har ett nätverk med upp till tio år på nacken. Det är både kostsamt och tidskrävande menar Carl-Johan Ekman, vd på Golfservices Norden.

För att kunna erbjuda anläggningarna den bästa IT-plattformen gjorde Golfservice under 2012 en undersökning för att se vilka leverantörer och produkter som fanns på marknaden.

- Det viktigaste var att lösningen bidrog till att främja lönsamhet, kommunikation och kunde fungera som en grund för vårt koncept. Microsoft Office 365 möter de krav som vår BI-plattform ställer. Med Office 365 kan användarna dela information och få tillgång till lösningen via telefoner, plattor och datorer. Det är precis vad vi vill erbjuda så det var en bra matchning, fortsätter Carl Johan Ekman.

Intresset för Golfservice har ökat sedan de började erbjudande Office 365, enligt Carl-Johan Ekman uppskattas konceptet och anläggningarna köper tjänster i högre utsträckning än förr.

- Men även kalkylen lockar. Att köra Office 365 kostar under 250 kronor per månad och användare för en anläggning, vilket kan jämföras med de 60 000 kronor som en ny server kostar med uppsättning och underhåll. Med elkostnader blir det en kostnad på cirka 2 500 kronor i månaden, påpekar Carl-Johan Ekman.

It-företaget Allieros introducerade Office 365 för Golfservice. För Alliero är det ett naturligt val av IT-plattform.

- Lösningen ligger i molnet och man slipper det extra jobb som egna servrar kan innebära. Det blir lättare att interagera med andra i affärssystemet vilket leder till effektivisering, säger Allieros Tobias Lindstedt. Dessutom leder det till en minskad miljöpåverkan eftersom elförbrukningen minskar.

 Läs mer om varför Golfservices Norden erbjuder Office 365 till golfanläggningar i Norden

Categories: MDT

Golfanläggningar lyfter med molnet

The Deployment Guys - Mon, 11/18/2013 - 03:31

Golfservices Norden arbetar sedan starten 2011 med att ge golfanläggningar nöjdare medlemmar samt att öka anläggningarnas lönsamhet. För att detta ska vara möjligt är en väl fungerande IT-plattform en förutsättning.

Golfservices har valt att erbjuda golfanläggningarna Office 365 eftersom det ger både lägre driftkostnader och enklare hantering för anläggningarna.

- Golfservice erbjuder golfanläggningarna analysstöd, utbildningsstöd och support. Många av anläggningarna har ett nätverk med upp till tio år på nacken. Det är både kostsamt och tidskrävande menar Carl-Johan Ekman, vd på Golfservices Norden.

För att kunna erbjuda anläggningarna den bästa IT-plattformen gjorde Golfservice under 2012 en undersökning för att se vilka leverantörer och produkter som fanns på marknaden.

- Det viktigaste var att lösningen bidrog till att främja lönsamhet, kommunikation och kunde fungera som en grund för vårt koncept. Microsoft Office 365 möter de krav som vår BI-plattform ställer. Med Office 365 kan användarna dela information och få tillgång till lösningen via telefoner, plattor och datorer. Det är precis vad vi vill erbjuda så det var en bra matchning, fortsätter Carl Johan Ekman.

Intresset för Golfservice har ökat sedan de började erbjudande Office 365, enligt Carl-Johan Ekman uppskattas konceptet och anläggningarna köper tjänster i högre utsträckning än förr.

- Men även kalkylen lockar. Att köra Office 365 kostar under 250 kronor per månad och användare för en anläggning, vilket kan jämföras med de 60 000 kronor som en ny server kostar med uppsättning och underhåll. Med elkostnader blir det en kostnad på cirka 2 500 kronor i månaden, påpekar Carl-Johan Ekman.

It-företaget Allieros introducerade Office 365 för Golfservice. För Alliero är det ett naturligt val av IT-plattform.

- Lösningen ligger i molnet och man slipper det extra jobb som egna servrar kan innebära. Det blir lättare att interagera med andra i affärssystemet vilket leder till effektivisering, säger Allieros Tobias Lindstedt. Dessutom leder det till en minskad miljöpåverkan eftersom elförbrukningen minskar.

 Läs mer om varför Golfservices Norden erbjuder Office 365 till golfanläggningar i Norden

Categories: MDT

Febipos for Internet Explorer

Microsoft Deployment Toolkit Team Blog - Thu, 11/14/2013 - 20:09

In a previous blog post we discussed Trojan:JS/Febipos.A, a malicious browser extension that targets the Facebook profiles of Google Chrome and Mozilla Firefox users.  We recently came across a new Febipos sample that was specifically developed for Internet Explorer - we detect it as Trojan:Win32/Febipos.B!dll.

This trojan is a browser helper object that loads a JavaScript to Internet Explorer. We detect the loaded JavaScript as Trojan:JS/Febipos.E. The plugin tries to look legitimate by calling itself MicrosoftSecurityPlugin when viewed in Internet Explorer add-ons.

 

Figure 1: The plugin tries to look legitimate in Internet Explorer add-ons

Spamming links on Facebook

When installed and loaded successfully Trojan:Win32/Febipos.B!dll will attempt to load a configuration file that it downloads from supbr.info/<removed>.php. It can then access a logged in Facebook account to:

  • Like a page
  • Share
  • Post
  • Join a group
  • Invite friends to a group
  • Chat with your friends
  • Comment on a post

We have seen it post the following messages in Portuguese on the wall of a logged in Facebook account. It can also tag several of the affected user’s friends:

  • Encontrei um vídeo no Youtube ensinando a ganhar $$ na Internet pelo Google! Acho que vale a pena
    I found a video on Youtube teaching how to earn $$ on the Internet through Google! I think it’s worth it.
  • Nem eu acredito, mas é verdade.
    Even I don’t believe it, but it’s true.
  • Dificuldades para PERDER PESO? Com ULTRA SLIM você emagrece sem sofrer!
    Struggling to lose weight? With ULTRA SLIM you lose weight without suffering!
  • PERCA PESO, GANHE SAÚDE E AUTO-ESTIMA. É DEPENDE DE VOCÊ.
    Lose weight, gain in health and self-steem. It’s only up to you.
  • Encontrei um vídeo no Youtube ensinando a ganhar $$ na Internet pelo Google!
    I found a video on Youtube teaching how to earn $$ on the Internet through Google!
  • Oportunidade: Google paga R$160 por hora para trabalhar em Casa!
    Opportunity: Google pays R$ 160 per hour to work from home!
  • Ganhe R$15.000 por mês trabalhando em Casa na Internet. Acesse o Link e saiba como!
    Earn R$15,000 per month working from home on the Internet. Click on the link and find out how!

One of the following URLs is also included in the message:

  • dl.dropboxusercontent.com/<removed>/aan57i7rfpx6qo0/index.html
  • dl.dropboxusercontent.com/<removed>/kzsdfkep25dz1pi/index.html
  • dl.dropboxusercontent.com/<removed>/inxtfvhqti5hvvr/index.html

It may also use one of the following images:

Figure 2: An example of the images used by Trojan:Win32/Febipos.B!dll in Facebook spam

Here is an example of the Facebook post: 

Figure 3: An example Trojan:Win32/Febipos.B!dll Facebook post

When someone clicks on the link in the message, they are redirected to mprptrk.com/<removed>/v294v294e4p233r224w2t254/. This site will then redirect again to one of the following URLs:

  • www.ultraslimsystem.com.br/<removed>/
  • gazetadaweb.com/<removed>/

Installation

We have seen Trojan:Win32/Febipos.B!dll being dropped and loaded by Trojan:Win32/Febipos.B with the path and filename %appdata%\WService.dll. It is loaded using the legitimate Windows application named regsvr32.exe. This application is used to register dynamic-link libraries and ActiveX controls in the registry.

The trojan creates the following registry entries to register itself as a browser helper object:

  • HKEY_CLASSES_ROOT\CLSID\{3543619C-D563-43f7-95EA-4DA7E1CC396A}
    (default) = "MicrosoftSecurityPlugin"
  • HKEY_CLASSES_ROOT\CLSID\{3543619C-D563-43f7-95EA-4DA7E1CC396A}\InProcServer32
    (default) = "%appdata%\WService.dll"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3543619C-D563-43f7-95EA-4DA7E1CC396A}
    (default) = "MicrosoftSecurityPlugin"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3543619C-D563-43f7-95EA-4DA7E1CC396A}\InProcServer32
    (default) = "%appdata%\WService.dll"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{3543619C-D563-43f7-95EA-4DA7E1CC396A}

It will also create the following registry entry to ensure it is only loaded in Internet Explorer and not in Windows Explorer:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{3543619C-D563-43f7-95EA-4DA7E1CC396A}
    NoExplorer = dword:00000001

The following registries entries are also created to disable some Internet Explorer notifications:

  • This will disable the IE notification to the user that the add-on is ready to use
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext
    IgnoreFrameApprovalCheck = dword:00000001
  • This will disable the add-on performance IE notifications
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext
    DisableAddonLoadTimePerformanceNotifications = dword:00000001

All of the above information was found at the time of our analysis; however, these websites can change at any time. In any case, we always recommend you keep your security products up-to-date with the latest definitions to help reduce your change of infection.

Jonathan San Jose
MMPC

Sha1s:

5cbd9c1e870b09fdd4b67e7610acbea8dddee9bd - Trojan:Win32/Febipos.B
361546e95a79b96a15e15ab82b1849f68b7381b2 - Trojan:Win32/Febipos.B!dll
bad556fb373e14f7041b3361ca450b2156a5ecda - Trojan:JS/Febipos.E

Categories: MDT

Febipos for Internet Explorer

The USMT team blog - Thu, 11/14/2013 - 20:09

In a previous blog post we discussed Trojan:JS/Febipos.A, a malicious browser extension that targets the Facebook profiles of Google Chrome and Mozilla Firefox users.  We recently came across a new Febipos sample that was specifically developed for Internet Explorer - we detect it as Trojan:Win32/Febipos.B!dll.

This trojan is a browser helper object that loads a JavaScript to Internet Explorer. We detect the loaded JavaScript as Trojan:JS/Febipos.E. The plugin tries to look legitimate by calling itself MicrosoftSecurityPlugin when viewed in Internet Explorer add-ons.

 

Figure 1: The plugin tries to look legitimate in Internet Explorer add-ons

Spamming links on Facebook

When installed and loaded successfully Trojan:Win32/Febipos.B!dll will attempt to load a configuration file that it downloads from supbr.info/<removed>.php. It can then access a logged in Facebook account to:

  • Like a page
  • Share
  • Post
  • Join a group
  • Invite friends to a group
  • Chat with your friends
  • Comment on a post

We have seen it post the following messages in Portuguese on the wall of a logged in Facebook account. It can also tag several of the affected user’s friends:

  • Encontrei um vídeo no Youtube ensinando a ganhar $$ na Internet pelo Google! Acho que vale a pena
    I found a video on Youtube teaching how to earn $$ on the Internet through Google! I think it’s worth it.
  • Nem eu acredito, mas é verdade.
    Even I don’t believe it, but it’s true.
  • Dificuldades para PERDER PESO? Com ULTRA SLIM você emagrece sem sofrer!
    Struggling to lose weight? With ULTRA SLIM you lose weight without suffering!
  • PERCA PESO, GANHE SAÚDE E AUTO-ESTIMA. É DEPENDE DE VOCÊ.
    Lose weight, gain in health and self-steem. It’s only up to you.
  • Encontrei um vídeo no Youtube ensinando a ganhar $$ na Internet pelo Google!
    I found a video on Youtube teaching how to earn $$ on the Internet through Google!
  • Oportunidade: Google paga R$160 por hora para trabalhar em Casa!
    Opportunity: Google pays R$ 160 per hour to work from home!
  • Ganhe R$15.000 por mês trabalhando em Casa na Internet. Acesse o Link e saiba como!
    Earn R$15,000 per month working from home on the Internet. Click on the link and find out how!

One of the following URLs is also included in the message:

  • dl.dropboxusercontent.com/<removed>/aan57i7rfpx6qo0/index.html
  • dl.dropboxusercontent.com/<removed>/kzsdfkep25dz1pi/index.html
  • dl.dropboxusercontent.com/<removed>/inxtfvhqti5hvvr/index.html

It may also use one of the following images:

Figure 2: An example of the images used by Trojan:Win32/Febipos.B!dll in Facebook spam

Here is an example of the Facebook post: 

Figure 3: An example Trojan:Win32/Febipos.B!dll Facebook post

When someone clicks on the link in the message, they are redirected to mprptrk.com/<removed>/v294v294e4p233r224w2t254/. This site will then redirect again to one of the following URLs:

  • www.ultraslimsystem.com.br/<removed>/
  • gazetadaweb.com/<removed>/

Installation

We have seen Trojan:Win32/Febipos.B!dll being dropped and loaded by Trojan:Win32/Febipos.B with the path and filename %appdata%\WService.dll. It is loaded using the legitimate Windows application named regsvr32.exe. This application is used to register dynamic-link libraries and ActiveX controls in the registry.

The trojan creates the following registry entries to register itself as a browser helper object:

  • HKEY_CLASSES_ROOT\CLSID\{3543619C-D563-43f7-95EA-4DA7E1CC396A}
    (default) = "MicrosoftSecurityPlugin"
  • HKEY_CLASSES_ROOT\CLSID\{3543619C-D563-43f7-95EA-4DA7E1CC396A}\InProcServer32
    (default) = "%appdata%\WService.dll"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3543619C-D563-43f7-95EA-4DA7E1CC396A}
    (default) = "MicrosoftSecurityPlugin"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3543619C-D563-43f7-95EA-4DA7E1CC396A}\InProcServer32
    (default) = "%appdata%\WService.dll"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{3543619C-D563-43f7-95EA-4DA7E1CC396A}

It will also create the following registry entry to ensure it is only loaded in Internet Explorer and not in Windows Explorer:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{3543619C-D563-43f7-95EA-4DA7E1CC396A}
    NoExplorer = dword:00000001

The following registries entries are also created to disable some Internet Explorer notifications:

  • This will disable the IE notification to the user that the add-on is ready to use
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext
    IgnoreFrameApprovalCheck = dword:00000001
  • This will disable the add-on performance IE notifications
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext
    DisableAddonLoadTimePerformanceNotifications = dword:00000001

All of the above information was found at the time of our analysis; however, these websites can change at any time. In any case, we always recommend you keep your security products up-to-date with the latest definitions to help reduce your change of infection.

Jonathan San Jose
MMPC

Sha1s:

5cbd9c1e870b09fdd4b67e7610acbea8dddee9bd - Trojan:Win32/Febipos.B
361546e95a79b96a15e15ab82b1849f68b7381b2 - Trojan:Win32/Febipos.B!dll
bad556fb373e14f7041b3361ca450b2156a5ecda - Trojan:JS/Febipos.E

Categories: MDT

Febipos for Internet Explorer

In a previous blog post we discussed Trojan:JS/Febipos.A, a malicious browser extension that targets the Facebook profiles of Google Chrome and Mozilla Firefox users.  We recently came across a new Febipos sample that was specifically developed for Internet Explorer - we detect it as Trojan:Win32/Febipos.B!dll.

This trojan is a browser helper object that loads a JavaScript to Internet Explorer. We detect the loaded JavaScript as Trojan:JS/Febipos.E. The plugin tries to look legitimate by calling itself MicrosoftSecurityPlugin when viewed in Internet Explorer add-ons.

 

Figure 1: The plugin tries to look legitimate in Internet Explorer add-ons

Spamming links on Facebook

When installed and loaded successfully Trojan:Win32/Febipos.B!dll will attempt to load a configuration file that it downloads from supbr.info/<removed>.php. It can then access a logged in Facebook account to:

  • Like a page
  • Share
  • Post
  • Join a group
  • Invite friends to a group
  • Chat with your friends
  • Comment on a post

We have seen it post the following messages in Portuguese on the wall of a logged in Facebook account. It can also tag several of the affected user’s friends:

  • Encontrei um vídeo no Youtube ensinando a ganhar $$ na Internet pelo Google! Acho que vale a pena
    I found a video on Youtube teaching how to earn $$ on the Internet through Google! I think it’s worth it.
  • Nem eu acredito, mas é verdade.
    Even I don’t believe it, but it’s true.
  • Dificuldades para PERDER PESO? Com ULTRA SLIM você emagrece sem sofrer!
    Struggling to lose weight? With ULTRA SLIM you lose weight without suffering!
  • PERCA PESO, GANHE SAÚDE E AUTO-ESTIMA. É DEPENDE DE VOCÊ.
    Lose weight, gain in health and self-steem. It’s only up to you.
  • Encontrei um vídeo no Youtube ensinando a ganhar $$ na Internet pelo Google!
    I found a video on Youtube teaching how to earn $$ on the Internet through Google!
  • Oportunidade: Google paga R$160 por hora para trabalhar em Casa!
    Opportunity: Google pays R$ 160 per hour to work from home!
  • Ganhe R$15.000 por mês trabalhando em Casa na Internet. Acesse o Link e saiba como!
    Earn R$15,000 per month working from home on the Internet. Click on the link and find out how!

One of the following URLs is also included in the message:

  • dl.dropboxusercontent.com/<removed>/aan57i7rfpx6qo0/index.html
  • dl.dropboxusercontent.com/<removed>/kzsdfkep25dz1pi/index.html
  • dl.dropboxusercontent.com/<removed>/inxtfvhqti5hvvr/index.html

It may also use one of the following images:

Figure 2: An example of the images used by Trojan:Win32/Febipos.B!dll in Facebook spam

Here is an example of the Facebook post: 

Figure 3: An example Trojan:Win32/Febipos.B!dll Facebook post

When someone clicks on the link in the message, they are redirected to mprptrk.com/<removed>/v294v294e4p233r224w2t254/. This site will then redirect again to one of the following URLs:

  • www.ultraslimsystem.com.br/<removed>/
  • gazetadaweb.com/<removed>/

Installation

We have seen Trojan:Win32/Febipos.B!dll being dropped and loaded by Trojan:Win32/Febipos.B with the path and filename %appdata%\WService.dll. It is loaded using the legitimate Windows application named regsvr32.exe. This application is used to register dynamic-link libraries and ActiveX controls in the registry.

The trojan creates the following registry entries to register itself as a browser helper object:

  • HKEY_CLASSES_ROOT\CLSID\{3543619C-D563-43f7-95EA-4DA7E1CC396A}
    (default) = "MicrosoftSecurityPlugin"
  • HKEY_CLASSES_ROOT\CLSID\{3543619C-D563-43f7-95EA-4DA7E1CC396A}\InProcServer32
    (default) = "%appdata%\WService.dll"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3543619C-D563-43f7-95EA-4DA7E1CC396A}
    (default) = "MicrosoftSecurityPlugin"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3543619C-D563-43f7-95EA-4DA7E1CC396A}\InProcServer32
    (default) = "%appdata%\WService.dll"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{3543619C-D563-43f7-95EA-4DA7E1CC396A}

It will also create the following registry entry to ensure it is only loaded in Internet Explorer and not in Windows Explorer:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{3543619C-D563-43f7-95EA-4DA7E1CC396A}
    NoExplorer = dword:00000001

The following registries entries are also created to disable some Internet Explorer notifications:

  • This will disable the IE notification to the user that the add-on is ready to use
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext
    IgnoreFrameApprovalCheck = dword:00000001
  • This will disable the add-on performance IE notifications
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext
    DisableAddonLoadTimePerformanceNotifications = dword:00000001

All of the above information was found at the time of our analysis; however, these websites can change at any time. In any case, we always recommend you keep your security products up-to-date with the latest definitions to help reduce your change of infection.

Jonathan San Jose
MMPC

Sha1s:

5cbd9c1e870b09fdd4b67e7610acbea8dddee9bd - Trojan:Win32/Febipos.B
361546e95a79b96a15e15ab82b1849f68b7381b2 - Trojan:Win32/Febipos.B!dll
bad556fb373e14f7041b3361ca450b2156a5ecda - Trojan:JS/Febipos.E

Categories: MDT

Febipos for Internet Explorer

The Deployment Guys - Thu, 11/14/2013 - 20:09

In a previous blog post we discussed Trojan:JS/Febipos.A, a malicious browser extension that targets the Facebook profiles of Google Chrome and Mozilla Firefox users.  We recently came across a new Febipos sample that was specifically developed for Internet Explorer - we detect it as Trojan:Win32/Febipos.B!dll.

This trojan is a browser helper object that loads a JavaScript to Internet Explorer. We detect the loaded JavaScript as Trojan:JS/Febipos.E. The plugin tries to look legitimate by calling itself MicrosoftSecurityPlugin when viewed in Internet Explorer add-ons.

 

Figure 1: The plugin tries to look legitimate in Internet Explorer add-ons

Spamming links on Facebook

When installed and loaded successfully Trojan:Win32/Febipos.B!dll will attempt to load a configuration file that it downloads from supbr.info/<removed>.php. It can then access a logged in Facebook account to:

  • Like a page
  • Share
  • Post
  • Join a group
  • Invite friends to a group
  • Chat with your friends
  • Comment on a post

We have seen it post the following messages in Portuguese on the wall of a logged in Facebook account. It can also tag several of the affected user’s friends:

  • Encontrei um vídeo no Youtube ensinando a ganhar $$ na Internet pelo Google! Acho que vale a pena
    I found a video on Youtube teaching how to earn $$ on the Internet through Google! I think it’s worth it.
  • Nem eu acredito, mas é verdade.
    Even I don’t believe it, but it’s true.
  • Dificuldades para PERDER PESO? Com ULTRA SLIM você emagrece sem sofrer!
    Struggling to lose weight? With ULTRA SLIM you lose weight without suffering!
  • PERCA PESO, GANHE SAÚDE E AUTO-ESTIMA. É DEPENDE DE VOCÊ.
    Lose weight, gain in health and self-steem. It’s only up to you.
  • Encontrei um vídeo no Youtube ensinando a ganhar $$ na Internet pelo Google!
    I found a video on Youtube teaching how to earn $$ on the Internet through Google!
  • Oportunidade: Google paga R$160 por hora para trabalhar em Casa!
    Opportunity: Google pays R$ 160 per hour to work from home!
  • Ganhe R$15.000 por mês trabalhando em Casa na Internet. Acesse o Link e saiba como!
    Earn R$15,000 per month working from home on the Internet. Click on the link and find out how!

One of the following URLs is also included in the message:

  • dl.dropboxusercontent.com/<removed>/aan57i7rfpx6qo0/index.html
  • dl.dropboxusercontent.com/<removed>/kzsdfkep25dz1pi/index.html
  • dl.dropboxusercontent.com/<removed>/inxtfvhqti5hvvr/index.html

It may also use one of the following images:

Figure 2: An example of the images used by Trojan:Win32/Febipos.B!dll in Facebook spam

Here is an example of the Facebook post: 

Figure 3: An example Trojan:Win32/Febipos.B!dll Facebook post

When someone clicks on the link in the message, they are redirected to mprptrk.com/<removed>/v294v294e4p233r224w2t254/. This site will then redirect again to one of the following URLs:

  • www.ultraslimsystem.com.br/<removed>/
  • gazetadaweb.com/<removed>/

Installation

We have seen Trojan:Win32/Febipos.B!dll being dropped and loaded by Trojan:Win32/Febipos.B with the path and filename %appdata%\WService.dll. It is loaded using the legitimate Windows application named regsvr32.exe. This application is used to register dynamic-link libraries and ActiveX controls in the registry.

The trojan creates the following registry entries to register itself as a browser helper object:

  • HKEY_CLASSES_ROOT\CLSID\{3543619C-D563-43f7-95EA-4DA7E1CC396A}
    (default) = "MicrosoftSecurityPlugin"
  • HKEY_CLASSES_ROOT\CLSID\{3543619C-D563-43f7-95EA-4DA7E1CC396A}\InProcServer32
    (default) = "%appdata%\WService.dll"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3543619C-D563-43f7-95EA-4DA7E1CC396A}
    (default) = "MicrosoftSecurityPlugin"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3543619C-D563-43f7-95EA-4DA7E1CC396A}\InProcServer32
    (default) = "%appdata%\WService.dll"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{3543619C-D563-43f7-95EA-4DA7E1CC396A}

It will also create the following registry entry to ensure it is only loaded in Internet Explorer and not in Windows Explorer:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{3543619C-D563-43f7-95EA-4DA7E1CC396A}
    NoExplorer = dword:00000001

The following registries entries are also created to disable some Internet Explorer notifications:

  • This will disable the IE notification to the user that the add-on is ready to use
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext
    IgnoreFrameApprovalCheck = dword:00000001
  • This will disable the add-on performance IE notifications
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext
    DisableAddonLoadTimePerformanceNotifications = dword:00000001

All of the above information was found at the time of our analysis; however, these websites can change at any time. In any case, we always recommend you keep your security products up-to-date with the latest definitions to help reduce your change of infection.

Jonathan San Jose
MMPC

Sha1s:

5cbd9c1e870b09fdd4b67e7610acbea8dddee9bd - Trojan:Win32/Febipos.B
361546e95a79b96a15e15ab82b1849f68b7381b2 - Trojan:Win32/Febipos.B!dll
bad556fb373e14f7041b3361ca450b2156a5ecda - Trojan:JS/Febipos.E

Categories: MDT

New in Software Assurance: Problem Resolution Support Web

Microsoft Deployment Toolkit Team Blog - Wed, 11/13/2013 - 14:43

Hi everyone, this is Siddharth Jha from the DPM team and I wanted to bring a product support related update to your attention.

Microsoft has added a new type of support incident that has an email-only support option. We offer this as a part of our paid Microsoft Software Assurance Support program in order to make sure that you can get the help you need while you test, implement and use our products.

What these incidents provide

These email-only incidents are free of charge to customers with Software Assurance, and assistance is provided via email rather than a phone call or remote support (e.g. connecting to your server).  Every response from us occurs within approximately 24 hours (excluding weekends). This new offering is a wonderful option for general issues like how to do a certain thing with the software or what the best practices around a feature of product may be.

Situations where these incidents may not be the best choice

This new email based support option is not ideal for extremely complex technical scenarios where a support engineer may need access to the server on a real time basis. In other words, this support option is NOT for situations when you require urgent, real-time or phone-based interactions.

If you need phone based support, real-time assistance or the issue is very urgent, you can still call our support center and have a Customer Service Representative create a phone based Service Request just like you always could before. Here are the phone support numbers for the different regions:

If you are located in US or Canada, please call 1-800-936-4900

If you are located in India, please call 1-800-419-5666

If you are located in other countries or regions, please go to the website below and select the appropriate product to find the proper instructions for your area:

http://support.microsoft.com/select/?target=assistance

Siddharth Jha

Get the latest System Center news on Facebook and Twitter:

System Center All Up: http://blogs.technet.com/b/systemcenter/
System Center – Configuration Manager Support Team blog: http://blogs.technet.com/configurationmgr/
System Center – Data Protection Manager Team blog: http://blogs.technet.com/dpm/
System Center – Orchestrator Support Team blog: http://blogs.technet.com/b/orchestrator/
System Center – Operations Manager Team blog: http://blogs.technet.com/momteam/
System Center – Service Manager Team blog: http://blogs.technet.com/b/servicemanager
System Center – Virtual Machine Manager Team blog: http://blogs.technet.com/scvmm

Windows Intune: http://blogs.technet.com/b/windowsintune/
WSUS Support Team blog: http://blogs.technet.com/sus/
The AD RMS blog: http://blogs.technet.com/b/rmssupp/

App-V Team blog: http://blogs.technet.com/appv/
MED-V Team blog: http://blogs.technet.com/medv/
Server App-V Team blog: http://blogs.technet.com/b/serverappv

The Forefront Endpoint Protection blog : http://blogs.technet.com/b/clientsecurity/
The Forefront Identity Manager blog : http://blogs.msdn.com/b/ms-identity-support/
The Forefront TMG blog: http://blogs.technet.com/b/isablog/
The Forefront UAG blog: http://blogs.technet.com/b/edgeaccessblog/

Categories: MDT

New in Software Assurance: Problem Resolution Support Web

The USMT team blog - Wed, 11/13/2013 - 14:43

Hi everyone, this is Siddharth Jha from the DPM team and I wanted to bring a product support related update to your attention.

Microsoft has added a new type of support incident that has an email-only support option. We offer this as a part of our paid Microsoft Software Assurance Support program in order to make sure that you can get the help you need while you test, implement and use our products.

What these incidents provide

These email-only incidents are free of charge to customers with Software Assurance, and assistance is provided via email rather than a phone call or remote support (e.g. connecting to your server).  Every response from us occurs within approximately 24 hours (excluding weekends). This new offering is a wonderful option for general issues like how to do a certain thing with the software or what the best practices around a feature of product may be.

Situations where these incidents may not be the best choice

This new email based support option is not ideal for extremely complex technical scenarios where a support engineer may need access to the server on a real time basis. In other words, this support option is NOT for situations when you require urgent, real-time or phone-based interactions.

If you need phone based support, real-time assistance or the issue is very urgent, you can still call our support center and have a Customer Service Representative create a phone based Service Request just like you always could before. Here are the phone support numbers for the different regions:

If you are located in US or Canada, please call 1-800-936-4900

If you are located in India, please call 1-800-419-5666

If you are located in other countries or regions, please go to the website below and select the appropriate product to find the proper instructions for your area:

http://support.microsoft.com/select/?target=assistance

Siddharth Jha

Get the latest System Center news on Facebook and Twitter:

System Center All Up: http://blogs.technet.com/b/systemcenter/
System Center – Configuration Manager Support Team blog: http://blogs.technet.com/configurationmgr/
System Center – Data Protection Manager Team blog: http://blogs.technet.com/dpm/
System Center – Orchestrator Support Team blog: http://blogs.technet.com/b/orchestrator/
System Center – Operations Manager Team blog: http://blogs.technet.com/momteam/
System Center – Service Manager Team blog: http://blogs.technet.com/b/servicemanager
System Center – Virtual Machine Manager Team blog: http://blogs.technet.com/scvmm

Windows Intune: http://blogs.technet.com/b/windowsintune/
WSUS Support Team blog: http://blogs.technet.com/sus/
The AD RMS blog: http://blogs.technet.com/b/rmssupp/

App-V Team blog: http://blogs.technet.com/appv/
MED-V Team blog: http://blogs.technet.com/medv/
Server App-V Team blog: http://blogs.technet.com/b/serverappv

The Forefront Endpoint Protection blog : http://blogs.technet.com/b/clientsecurity/
The Forefront Identity Manager blog : http://blogs.msdn.com/b/ms-identity-support/
The Forefront TMG blog: http://blogs.technet.com/b/isablog/
The Forefront UAG blog: http://blogs.technet.com/b/edgeaccessblog/

Categories: MDT

New in Software Assurance: Problem Resolution Support Web

Hi everyone, this is Siddharth Jha from the DPM team and I wanted to bring a product support related update to your attention.

Microsoft has added a new type of support incident that has an email-only support option. We offer this as a part of our paid Microsoft Software Assurance Support program in order to make sure that you can get the help you need while you test, implement and use our products.

What these incidents provide

These email-only incidents are free of charge to customers with Software Assurance, and assistance is provided via email rather than a phone call or remote support (e.g. connecting to your server).  Every response from us occurs within approximately 24 hours (excluding weekends). This new offering is a wonderful option for general issues like how to do a certain thing with the software or what the best practices around a feature of product may be.

Situations where these incidents may not be the best choice

This new email based support option is not ideal for extremely complex technical scenarios where a support engineer may need access to the server on a real time basis. In other words, this support option is NOT for situations when you require urgent, real-time or phone-based interactions.

If you need phone based support, real-time assistance or the issue is very urgent, you can still call our support center and have a Customer Service Representative create a phone based Service Request just like you always could before. Here are the phone support numbers for the different regions:

If you are located in US or Canada, please call 1-800-936-4900

If you are located in India, please call 1-800-419-5666

If you are located in other countries or regions, please go to the website below and select the appropriate product to find the proper instructions for your area:

http://support.microsoft.com/select/?target=assistance

Siddharth Jha

Get the latest System Center news on Facebook and Twitter:

System Center All Up: http://blogs.technet.com/b/systemcenter/
System Center – Configuration Manager Support Team blog: http://blogs.technet.com/configurationmgr/
System Center – Data Protection Manager Team blog: http://blogs.technet.com/dpm/
System Center – Orchestrator Support Team blog: http://blogs.technet.com/b/orchestrator/
System Center – Operations Manager Team blog: http://blogs.technet.com/momteam/
System Center – Service Manager Team blog: http://blogs.technet.com/b/servicemanager
System Center – Virtual Machine Manager Team blog: http://blogs.technet.com/scvmm

Windows Intune: http://blogs.technet.com/b/windowsintune/
WSUS Support Team blog: http://blogs.technet.com/sus/
The AD RMS blog: http://blogs.technet.com/b/rmssupp/

App-V Team blog: http://blogs.technet.com/appv/
MED-V Team blog: http://blogs.technet.com/medv/
Server App-V Team blog: http://blogs.technet.com/b/serverappv

The Forefront Endpoint Protection blog : http://blogs.technet.com/b/clientsecurity/
The Forefront Identity Manager blog : http://blogs.msdn.com/b/ms-identity-support/
The Forefront TMG blog: http://blogs.technet.com/b/isablog/
The Forefront UAG blog: http://blogs.technet.com/b/edgeaccessblog/

Categories: MDT

New in Software Assurance: Problem Resolution Support Web

The Deployment Guys - Wed, 11/13/2013 - 14:43

Hi everyone, this is Siddharth Jha from the DPM team and I wanted to bring a product support related update to your attention.

Microsoft has added a new type of support incident that has an email-only support option. We offer this as a part of our paid Microsoft Software Assurance Support program in order to make sure that you can get the help you need while you test, implement and use our products.

What these incidents provide

These email-only incidents are free of charge to customers with Software Assurance, and assistance is provided via email rather than a phone call or remote support (e.g. connecting to your server).  Every response from us occurs within approximately 24 hours (excluding weekends). This new offering is a wonderful option for general issues like how to do a certain thing with the software or what the best practices around a feature of product may be.

Situations where these incidents may not be the best choice

This new email based support option is not ideal for extremely complex technical scenarios where a support engineer may need access to the server on a real time basis. In other words, this support option is NOT for situations when you require urgent, real-time or phone-based interactions.

If you need phone based support, real-time assistance or the issue is very urgent, you can still call our support center and have a Customer Service Representative create a phone based Service Request just like you always could before. Here are the phone support numbers for the different regions:

If you are located in US or Canada, please call 1-800-936-4900

If you are located in India, please call 1-800-419-5666

If you are located in other countries or regions, please go to the website below and select the appropriate product to find the proper instructions for your area:

http://support.microsoft.com/select/?target=assistance

Siddharth Jha

Get the latest System Center news on Facebook and Twitter:

System Center All Up: http://blogs.technet.com/b/systemcenter/
System Center – Configuration Manager Support Team blog: http://blogs.technet.com/configurationmgr/
System Center – Data Protection Manager Team blog: http://blogs.technet.com/dpm/
System Center – Orchestrator Support Team blog: http://blogs.technet.com/b/orchestrator/
System Center – Operations Manager Team blog: http://blogs.technet.com/momteam/
System Center – Service Manager Team blog: http://blogs.technet.com/b/servicemanager
System Center – Virtual Machine Manager Team blog: http://blogs.technet.com/scvmm

Windows Intune: http://blogs.technet.com/b/windowsintune/
WSUS Support Team blog: http://blogs.technet.com/sus/
The AD RMS blog: http://blogs.technet.com/b/rmssupp/

App-V Team blog: http://blogs.technet.com/appv/
MED-V Team blog: http://blogs.technet.com/medv/
Server App-V Team blog: http://blogs.technet.com/b/serverappv

The Forefront Endpoint Protection blog : http://blogs.technet.com/b/clientsecurity/
The Forefront Identity Manager blog : http://blogs.msdn.com/b/ms-identity-support/
The Forefront TMG blog: http://blogs.technet.com/b/isablog/
The Forefront UAG blog: http://blogs.technet.com/b/edgeaccessblog/

Categories: MDT

Windows 7 VDI? Here are some hotfixes you should be installing…

cluberti.com - Tue, 11/12/2013 - 17:14

Microsoft PFE Robert Smith has published a list of hotfixes recommended be tested and deployed, if no issues arise, on Windows 7 installations used for VDI. Find the data at the link, here:
http://social.technet.microsoft.com/wiki/contents/articles/20893.windows-7-vdi-image-hot-fixes.aspx

Categories: MDT

Error in policypv.log after upgrade to ConfigMgr 2012 R2

Coretech Blog » Kent Agerlund - Tue, 11/12/2013 - 14:32
Ran into an interesting error today after updating ConfigMgr 2012 SP1 to ConfigMgr 2012 R2. The hierarchy is a CAS and 3 primary sites (but I do not believe that the error is releated to having multiple primary sites). *** insert DepPolicyAssignment (PADBID, PolicyAssignmentID, PolicyID, DepPADBID, DepPolicyAssignmentID, DepPolicyID, IsTombstoned, LastUpdateTime) values (67118015, N’{ccff0eb1-db33-49c3-9dd3-c704c3a638f8}’, N’PS120012-PS10013D-6F6BCC28′, 67689129, […]
Categories: MDT

MSRT November 2013 - Napolar

Microsoft Deployment Toolkit Team Blog - Tue, 11/12/2013 - 12:00

​We first noticed the new family we named Win32/Napolar being distributed in the wild in early August this year. It quickly became a big problem on our customers’ machines.

Napolar is one of two families targeted by the Malicious Software Removal Tool (MSRT) this month. The other is the bitcoin mining family Win32/Deminnix.

As shown in the chart below, Napolar was hitting ~220K unique machines during the week of August 23rd.

Napolar is a trojan that can download and run files, utilize your machine’s resources to conduct a DDoS attack or serve as a SOCKS proxy, monitor network traffic, and steal credentials for FTP, POP3 and websites.  There is also a plugin infrastructure designed in Napolar, but we haven’t seen much usage of it.

Figure 1: Napolar infected machines in August/September 2013

The major infection vector used by Napolar during the spike of the week of August 23rd was a spammed link sent in a Facebook message.

The group behind this major  distribution chose to use public file sharing services (such as 4shared and mediafire) to host their malware. They also utilized computers infected by another family, Win32/Dorpiex, to send the malicious links to their Facebook friends.

The links redirect to a Napolar executable hosted on the file share service. The  files downloaded from those links  have a name and icon that make them look like an image (see example below) to lure people into opening it.

Although this is an old and well-known social engineering trick, sadly it still seems to trick a decent number of victims for the bad guys.

Figure 2: An example of the downloaded file containing win32/Napolar

Napolar installs itself in a similar way as other bots, but it takes a further step to install a user-mode rootkit to hide its file presence in the system and inject itself into newly created processes by hooking system native APIs (Ntdll!NtResumeThread and Ntdll!NtQueryDirectoryFile).

The chart below demonstrates a typical process found in Napolar. With newer variants, the main module name “lsass.exe” and plugins folder name “SlrPlugins” are changed to a random schema. There is more information on this in our Napolar family description.

Napolar starts when a user logs, because the Napolar file is located in the %Startup% folder. The  file is hidden by the user-mode rootkit so it can’t be seen directly with Windows Explorer. To be even stealthier, the main payload is injected and run in the explorer.exe process. The payload does the main tasks like communicating with a C&C, download files/plugins, etc. We have seen it download Win32/Dorpiex, which does further spreading, as well as Win32/Vicenor which does bitcoin mining.

Figure 3: A typical process found in Win32/Napolar

When running in web browsers and processes where ws2_32.dll is loaded, Napolar monitors network traffic and captures credentials by matching given patterns. Default strings ‘USER’ and ‘PASS’ are used to capture credentials from unencrypted FTP and POP3 traffic, and more patterns can be given by a C&C to capture credentials from websites.

Besides hiding itself, Napolar also tries to block changes to the following registry key paths with its rootkit functionality:

  • Microsoft\Windows\CurrentVersion\Run
  • Microsoft\Windows NT\CurrentVersion\Windows\run
  • Microsoft\Windows NT\CurrentVersion\Windows\load
  • Microsoft\Windows\CurrentVersion\Policies\Explorer\run
  • Microsoft\Windows NT\CurrentVersion\Winlogon
  • Microsoft\Active Setup\Installed Components

According to one website that advertises and sells Napolar as Solar Bot, this “feature” is for anti-bot installation - which sounds like preventing other malware from installing. This reminds me of the already crowded and competitive black market.
There are a couple of anti-debugging tricks can be found in Napolar that are also worth mentioning. They are not new but work for common debuggers:

  • Using code section name “%*s%*s%s*” for crashing OllyDbg.
  • Self-debugging to evade single process debugging.
  • Hooking Ntdll!DbgUiRemoteBreakin to block debugger remote attaching.

More interestingly, Napolar is written like Shellcode so it’s able to self-relocate and dynamically resolve APIs. At first glance, it is an x86 executable; however, so it can work with both x86 and x64 platforms it embeds the x64 copy of itself (no PE structure, just code and data) in the x86 executable. The x64 code is then decompressed by standard API RtlDecompressBuffer with COMPRESSION_FORMAT_LZNT1 as format if it is running under a Wow64 emulator.

To run the 64bit code from x86 code, Napolar allocates a 7 bytes buffer and puts far-call code calls into the decompressed x64 code with the segment selector set to 0x33 (the x64 code segment), then calls into the buffer. 


Figure 4: Napolar generates far call code into segment 0x33

The far-call switches the current process to execute x64 code and do code injection into x64 explorer.exe.

Napolar is a trojan that can do pretty bad things – from deploying more malware to stealing your credentials. The social engineering trick it uses is simple but it works, just keep that in mind and be careful when opening executables sent on social networks. Even if it's sent from one of your friends, don’t open it if you have no idea what it is.

 As always, the best protection from Napolar and similar threats is an up-to-date real time security solution.

Shawn Wang
MMPC

Categories: MDT

Pages