MDT

Backup the best defense against (Cri)locked files

The Deployment Guys - Tue, 11/19/2013 - 09:00

Crilock – also known as CryptoLocker – is one notorious ransomware that’s been making the rounds since early September. Its primary payload is to target and encrypt your files, such as your pictures and Office documents. All of the file types that can be encrypted are listed in our Trojan:Win32/Crilock.A and Trojan:Win32/Crilock.B descriptions.

Crilock affected about 34,000 machines between September and early November 2013.

Once Crilock encrypts your file types, they are rendered unusable. The malware shows a message that covers your desktop and demands you pay a ransom to have access to your files again. The ransom can be paid with various online currencies such as BitCoin, CashU, MoneyPak, Paysafecard, and Ukash. Once you pay, the malware author will supposedly give you back the private keys used in encryption. However, we don’t recommend doing this as there is no guarantee that paying will lead to recovering your documents and, in effect, you’re giving criminals some of your hard-earned money.

Figure 1: The message that Crilock might display on your desktop

Figure 2: Crilock asks you to upload your encrypted documents and recover them for a fee

The Crilock authors have even setup an online payment scheme on the Tor network where affected people can upload their encrypted files for recovery.

Crilock encrypts your files using an AES-256 key that is unique to each file and then encrypts the file-specific AES key using a 2048-bit RSA public key. This is similar to the GpCode ransomware, which first came out in 2006 and used the same technique, but with RC4 first, and then 1024-bit RSA for encrypting the per-file key.

Crilock can be downloaded onto your computer by exploits or malware. For instance, we have seen Upatre download Zbot, which in turn downloads Crilock. Upatre has been heavily spammed in the past few months, and spam runs can be an effective way to distribute malware. This is discussed in detail in the blog post Upatre: Emerging Up(d)at(er) in the wild.

As shown in the chart below, Crilock has predominantly affected English-speaking countries, although it does have a comparatively small presence in non-English speaking locations as well. Every Crilock variant we’ve seen so far has a ransom message written only in English.

Figure 3: Crilock-affected countries from September 2013 to early November 2013

Can you recover your documents without paying?

In some cases, you can recover previous versions of encrypted files. However, the following conditions must be in place:

  • System Restore Point must have been turned on before you were infected with Crilock.
  • You must already have detected and removed Crilock, and there can be no traces of it on your PC.
  • Your files must be on the same PC you're using to recover them (that is, the files aren't on a network or removable drive).

SkyDrive for Windows 8.1 also has a means of restoring previous versions of Microsoft documents. Similar to System Restore Point, you can look at the version history and recover files from a previous state.

Figure 4: Right-click on the file to see available version history

Figure 6: Restore file from older known working versions

You can find more information about restoring previous file versions below:

We’ve also added signatures based on Crilock behaviors to our antimalware products. This detection, Behavior:Win32/Crilock.A, can detect an infection before it infects and encrypts files.

Crilock is not the first malware to extort money by encrypting files and it certainly won’t be the last. However, you can help prevent Crilock and other malware, from infecting your PC by:

  • Keeping your operating system and antivirus product up-to-date.
  • Being careful about which files you download (and where you download from).
  • Being cautious about which attachments and links you open.

Ransomware such as Crilock also emphasizes the importance of backing up your files on a regular basis. You can back up files by enabling System Restore, using manual syncing methods, or even by manually moving your files to a separate drive.

Marianne Mallen and Karthik Selvaraj
MMPC

Categories: MDT

Microsoft Next: Välkommen till Microsofts huvudkontor 27-28 november

Microsoft Deployment Toolkit Team Blog - Mon, 11/18/2013 - 11:36

Den 27-28 november bjuder vi in dig till vår hemmaplan med tvådagarskonferensen Microsoft Next. Ny teknik förändrar hur vi jobbar och utmanar våra tankesätt. Vilken roll får kontoret när vi inte längre behöver vara där? Vad kommer morgondagens medarbetare att kräva av sin arbetsgivare? Det Nya Arbetslivet handlar lika mycket om ledarskap och kultur som de tekniska lösningarna.

Eventets första dag riktar sig till tekniska beslutsfattare. Under dagen presenterar och demonstrerar vi rykande färska produkter, tjänster och tekniker inom affärsområdet Server & Cloud. Produkter och tjänster som nyss lanserats och som är del av dagen är Windows Server 2012 R2, System Center Server 2012 R2, Windows Azure, Windows Intune och SQL Server 2014.

Under eventets andra dag vänder vi oss till dig som ansvarar för marknadsföring, försäljning, HR eller ekonomi. Vi bjuder på spännande talare, inspirerande sessioner och relevanta kundcase. Du kommer också få tillfälle att göra ett studiebesök med rundvisning på vårt kontor i Akalla där vi visar hur vi på Microsoft har skapat vår vision kring Det Nya Arbetslivet. Ett tillfälle till ny värdefull kunskap, inspiration och erfarenhetsutbyte som du inte får missa.

AGENDA ONSDAG 27 NOVEMBER - NYA LÖSNINGAR INOM SERVER & CLOUD

  • Modern Datacenter – För dig som jobbar med infrastruktur och vill lära dig mer om hybrid-moln baserade på Hyper-V, Windows Server 2012R2 och System Center Server R2.
  • People-Centric IT – ”Any Device – Anywhere…”, möjliggör arbete från vilken plats som helst med full säkerhet och managering av IT över Windows, iOS och Android via bland annat Windows Intune. Vi går också igenom nyheter i RDS/VDI i Windows Server 2012 R2.
  • Data Insights – ”Any Data – Any Size…”, oavsett typ av data och hur stora datamängder du har så finns det en lösning lokalt eller i molnet. Hadoop, SQL Server och Power BI är del av det vi går igenom.
  • Modern Apps – Med Windows Azure, Visual Studio 2013 och SQL Server 2014 får du helt nya möjligheter att utveckla applikationer med hög prestanda och kvalitet som spänner över alla typer av klienter. ALM i molnet (Visual Studio Online) eller lokalt (TFS) oavsett om applikationerna är skrivna i .NET, Java eller andra programmeringsspråk.

 AGENDA TORSDAG 28 NOVEMBER - DET NYA ARBETSLIVET

  • Per Schlingmann, varumärkesstrateg & kommunikationsrådgivare och en av hjärnorna bakom Nya Moderaterna, ger föreläsningen Att förändras är att vinna (och ha roligt på vägen dit). De verksamheter som har modet och förmågan att gå före och förändra och förnya sig är de som blir vinnarna – men hur går det till?
  • Hur skapar man en social företagskultur? Brit Stakston, kommunikationsstrateg och expert på sociala medier, talar i sin föreläsning Det sociala företaget - det sociala ledarskapet om hur ledare kan stötta den sociala utvecklingen och vända det till en fördel.
  • Missa inte heller chansen att besöka Sveriges Bästa Arbetsplats bakom kulisserna. Under dagen får du möjlighet att hänga med på rundvandringar på vårt kontor där vi visar hur vi på Microsoft har realiserat Det Nya Arbetslivet.
  • Vi avlutar dagen med Leo Razzak, 26 år gammal och sommarpratare 2013  - en fantastisk inspiratör och en av Sveriges mest anlitade föreläsare inom jämställdhets- och integrationsfrågor - en energikick ni inte får missa! 
Konferensen är kostnadsfri, anmäl dig här idag!
Categories: MDT

Microsoft Next: Välkommen till Microsofts huvudkontor 27-28 november

The USMT team blog - Mon, 11/18/2013 - 11:36

Den 27-28 november bjuder vi in dig till vår hemmaplan med tvådagarskonferensen Microsoft Next. Ny teknik förändrar hur vi jobbar och utmanar våra tankesätt. Vilken roll får kontoret när vi inte längre behöver vara där? Vad kommer morgondagens medarbetare att kräva av sin arbetsgivare? Det Nya Arbetslivet handlar lika mycket om ledarskap och kultur som de tekniska lösningarna.

Eventets första dag riktar sig till tekniska beslutsfattare. Under dagen presenterar och demonstrerar vi rykande färska produkter, tjänster och tekniker inom affärsområdet Server & Cloud. Produkter och tjänster som nyss lanserats och som är del av dagen är Windows Server 2012 R2, System Center Server 2012 R2, Windows Azure, Windows Intune och SQL Server 2014.

Under eventets andra dag vänder vi oss till dig som ansvarar för marknadsföring, försäljning, HR eller ekonomi. Vi bjuder på spännande talare, inspirerande sessioner och relevanta kundcase. Du kommer också få tillfälle att göra ett studiebesök med rundvisning på vårt kontor i Akalla där vi visar hur vi på Microsoft har skapat vår vision kring Det Nya Arbetslivet. Ett tillfälle till ny värdefull kunskap, inspiration och erfarenhetsutbyte som du inte får missa.

AGENDA ONSDAG 27 NOVEMBER - NYA LÖSNINGAR INOM SERVER & CLOUD

  • Modern Datacenter – För dig som jobbar med infrastruktur och vill lära dig mer om hybrid-moln baserade på Hyper-V, Windows Server 2012R2 och System Center Server R2.
  • People-Centric IT – ”Any Device – Anywhere…”, möjliggör arbete från vilken plats som helst med full säkerhet och managering av IT över Windows, iOS och Android via bland annat Windows Intune. Vi går också igenom nyheter i RDS/VDI i Windows Server 2012 R2.
  • Data Insights – ”Any Data – Any Size…”, oavsett typ av data och hur stora datamängder du har så finns det en lösning lokalt eller i molnet. Hadoop, SQL Server och Power BI är del av det vi går igenom.
  • Modern Apps – Med Windows Azure, Visual Studio 2013 och SQL Server 2014 får du helt nya möjligheter att utveckla applikationer med hög prestanda och kvalitet som spänner över alla typer av klienter. ALM i molnet (Visual Studio Online) eller lokalt (TFS) oavsett om applikationerna är skrivna i .NET, Java eller andra programmeringsspråk.

 AGENDA TORSDAG 28 NOVEMBER - DET NYA ARBETSLIVET

  • Per Schlingmann, varumärkesstrateg & kommunikationsrådgivare och en av hjärnorna bakom Nya Moderaterna, ger föreläsningen Att förändras är att vinna (och ha roligt på vägen dit). De verksamheter som har modet och förmågan att gå före och förändra och förnya sig är de som blir vinnarna – men hur går det till?
  • Hur skapar man en social företagskultur? Brit Stakston, kommunikationsstrateg och expert på sociala medier, talar i sin föreläsning Det sociala företaget - det sociala ledarskapet om hur ledare kan stötta den sociala utvecklingen och vända det till en fördel.
  • Missa inte heller chansen att besöka Sveriges Bästa Arbetsplats bakom kulisserna. Under dagen får du möjlighet att hänga med på rundvandringar på vårt kontor där vi visar hur vi på Microsoft har realiserat Det Nya Arbetslivet.
  • Vi avlutar dagen med Leo Razzak, 26 år gammal och sommarpratare 2013  - en fantastisk inspiratör och en av Sveriges mest anlitade föreläsare inom jämställdhets- och integrationsfrågor - en energikick ni inte får missa! 
Konferensen är kostnadsfri, anmäl dig här idag!
Categories: MDT

Microsoft Next: Välkommen till Microsofts huvudkontor 27-28 november

Den 27-28 november bjuder vi in dig till vår hemmaplan med tvådagarskonferensen Microsoft Next. Ny teknik förändrar hur vi jobbar och utmanar våra tankesätt. Vilken roll får kontoret när vi inte längre behöver vara där? Vad kommer morgondagens medarbetare att kräva av sin arbetsgivare? Det Nya Arbetslivet handlar lika mycket om ledarskap och kultur som de tekniska lösningarna.

Eventets första dag riktar sig till tekniska beslutsfattare. Under dagen presenterar och demonstrerar vi rykande färska produkter, tjänster och tekniker inom affärsområdet Server & Cloud. Produkter och tjänster som nyss lanserats och som är del av dagen är Windows Server 2012 R2, System Center Server 2012 R2, Windows Azure, Windows Intune och SQL Server 2014.

Under eventets andra dag vänder vi oss till dig som ansvarar för marknadsföring, försäljning, HR eller ekonomi. Vi bjuder på spännande talare, inspirerande sessioner och relevanta kundcase. Du kommer också få tillfälle att göra ett studiebesök med rundvisning på vårt kontor i Akalla där vi visar hur vi på Microsoft har skapat vår vision kring Det Nya Arbetslivet. Ett tillfälle till ny värdefull kunskap, inspiration och erfarenhetsutbyte som du inte får missa.

AGENDA ONSDAG 27 NOVEMBER - NYA LÖSNINGAR INOM SERVER & CLOUD

  • Modern Datacenter – För dig som jobbar med infrastruktur och vill lära dig mer om hybrid-moln baserade på Hyper-V, Windows Server 2012R2 och System Center Server R2.
  • People-Centric IT – ”Any Device – Anywhere…”, möjliggör arbete från vilken plats som helst med full säkerhet och managering av IT över Windows, iOS och Android via bland annat Windows Intune. Vi går också igenom nyheter i RDS/VDI i Windows Server 2012 R2.
  • Data Insights – ”Any Data – Any Size…”, oavsett typ av data och hur stora datamängder du har så finns det en lösning lokalt eller i molnet. Hadoop, SQL Server och Power BI är del av det vi går igenom.
  • Modern Apps – Med Windows Azure, Visual Studio 2013 och SQL Server 2014 får du helt nya möjligheter att utveckla applikationer med hög prestanda och kvalitet som spänner över alla typer av klienter. ALM i molnet (Visual Studio Online) eller lokalt (TFS) oavsett om applikationerna är skrivna i .NET, Java eller andra programmeringsspråk.

 AGENDA TORSDAG 28 NOVEMBER - DET NYA ARBETSLIVET

  • Per Schlingmann, varumärkesstrateg & kommunikationsrådgivare och en av hjärnorna bakom Nya Moderaterna, ger föreläsningen Att förändras är att vinna (och ha roligt på vägen dit). De verksamheter som har modet och förmågan att gå före och förändra och förnya sig är de som blir vinnarna – men hur går det till?
  • Hur skapar man en social företagskultur? Brit Stakston, kommunikationsstrateg och expert på sociala medier, talar i sin föreläsning Det sociala företaget - det sociala ledarskapet om hur ledare kan stötta den sociala utvecklingen och vända det till en fördel.
  • Missa inte heller chansen att besöka Sveriges Bästa Arbetsplats bakom kulisserna. Under dagen får du möjlighet att hänga med på rundvandringar på vårt kontor där vi visar hur vi på Microsoft har realiserat Det Nya Arbetslivet.
  • Vi avlutar dagen med Leo Razzak, 26 år gammal och sommarpratare 2013  - en fantastisk inspiratör och en av Sveriges mest anlitade föreläsare inom jämställdhets- och integrationsfrågor - en energikick ni inte får missa! 
Konferensen är kostnadsfri, anmäl dig här idag!
Categories: MDT

Microsoft Next: Välkommen till Microsofts huvudkontor 27-28 november

The Deployment Guys - Mon, 11/18/2013 - 11:36

Den 27-28 november bjuder vi in dig till vår hemmaplan med tvådagarskonferensen Microsoft Next. Ny teknik förändrar hur vi jobbar och utmanar våra tankesätt. Vilken roll får kontoret när vi inte längre behöver vara där? Vad kommer morgondagens medarbetare att kräva av sin arbetsgivare? Det Nya Arbetslivet handlar lika mycket om ledarskap och kultur som de tekniska lösningarna.

Eventets första dag riktar sig till tekniska beslutsfattare. Under dagen presenterar och demonstrerar vi rykande färska produkter, tjänster och tekniker inom affärsområdet Server & Cloud. Produkter och tjänster som nyss lanserats och som är del av dagen är Windows Server 2012 R2, System Center Server 2012 R2, Windows Azure, Windows Intune och SQL Server 2014.

Under eventets andra dag vänder vi oss till dig som ansvarar för marknadsföring, försäljning, HR eller ekonomi. Vi bjuder på spännande talare, inspirerande sessioner och relevanta kundcase. Du kommer också få tillfälle att göra ett studiebesök med rundvisning på vårt kontor i Akalla där vi visar hur vi på Microsoft har skapat vår vision kring Det Nya Arbetslivet. Ett tillfälle till ny värdefull kunskap, inspiration och erfarenhetsutbyte som du inte får missa.

AGENDA ONSDAG 27 NOVEMBER - NYA LÖSNINGAR INOM SERVER & CLOUD

  • Modern Datacenter – För dig som jobbar med infrastruktur och vill lära dig mer om hybrid-moln baserade på Hyper-V, Windows Server 2012R2 och System Center Server R2.
  • People-Centric IT – ”Any Device – Anywhere…”, möjliggör arbete från vilken plats som helst med full säkerhet och managering av IT över Windows, iOS och Android via bland annat Windows Intune. Vi går också igenom nyheter i RDS/VDI i Windows Server 2012 R2.
  • Data Insights – ”Any Data – Any Size…”, oavsett typ av data och hur stora datamängder du har så finns det en lösning lokalt eller i molnet. Hadoop, SQL Server och Power BI är del av det vi går igenom.
  • Modern Apps – Med Windows Azure, Visual Studio 2013 och SQL Server 2014 får du helt nya möjligheter att utveckla applikationer med hög prestanda och kvalitet som spänner över alla typer av klienter. ALM i molnet (Visual Studio Online) eller lokalt (TFS) oavsett om applikationerna är skrivna i .NET, Java eller andra programmeringsspråk.

 AGENDA TORSDAG 28 NOVEMBER - DET NYA ARBETSLIVET

  • Per Schlingmann, varumärkesstrateg & kommunikationsrådgivare och en av hjärnorna bakom Nya Moderaterna, ger föreläsningen Att förändras är att vinna (och ha roligt på vägen dit). De verksamheter som har modet och förmågan att gå före och förändra och förnya sig är de som blir vinnarna – men hur går det till?
  • Hur skapar man en social företagskultur? Brit Stakston, kommunikationsstrateg och expert på sociala medier, talar i sin föreläsning Det sociala företaget - det sociala ledarskapet om hur ledare kan stötta den sociala utvecklingen och vända det till en fördel.
  • Missa inte heller chansen att besöka Sveriges Bästa Arbetsplats bakom kulisserna. Under dagen får du möjlighet att hänga med på rundvandringar på vårt kontor där vi visar hur vi på Microsoft har realiserat Det Nya Arbetslivet.
  • Vi avlutar dagen med Leo Razzak, 26 år gammal och sommarpratare 2013  - en fantastisk inspiratör och en av Sveriges mest anlitade föreläsare inom jämställdhets- och integrationsfrågor - en energikick ni inte får missa! 
Konferensen är kostnadsfri, anmäl dig här idag!
Categories: MDT

Norrtäljeskola en av 80 skolor i världen att utses till mentorskola

Microsoft Deployment Toolkit Team Blog - Mon, 11/18/2013 - 10:07
 Som en av 80 skolor i världen, och som enda svenska skola, utses Rodengymnasiet i Norrtälje kommun till mentorsskola i Microsofts internationella utbildningssatsning.   -        Rodengymnasiet använder inte bara teknik i skolan på ett innovativt sätt. De har också fått utmärkelsen för sin passion för innovativt lärande och för att man på ett föredömligt sätt på ett strategiskt vis bygger hållbar skolutveckling i vardagen, säger Eva Pethrus, ansvarig för Partnerskap i Lärande på Microsoft.   -        Vi är mycket glada över utmärkelsen! Våra duktiga lärare har alla hjälpts åt för att göra detta möjligt, säger Katarina Björk, rektor på Rodengymnasiet.   Utnämningen innebär att lärare, elever och skolledare på Rodengymnasiet kommer att delta i internationella nätverk och kompetensutveckling som Microsoft anordnar. De får bland annat en inbjudan till Microsofts utbildningsforum i Barcelona i mars, för att dela med sig av sina lärdomar och inspireras av andra.   Microsoft har utsett 80 mentorsskolor som representerar ledarskap och innovation i klassrummet, och som är fast beslutna att förbereda eleverna för 21st Century Learning. 250 mentorsskolor var nominerade från 75 länder.   Ytterligare information om Microsofts syn på utbildning och vad som görs för att stötta lärande runtom i världen finns i Anthony Salcitos blogginlägg.   Kontakt: Katarina Björk Rektor, Rodengymnasiet 0176-717 64
Categories: MDT

Norrtäljeskola en av 80 skolor i världen att utses till mentorskola

The USMT team blog - Mon, 11/18/2013 - 10:07
 Som en av 80 skolor i världen, och som enda svenska skola, utses Rodengymnasiet i Norrtälje kommun till mentorsskola i Microsofts internationella utbildningssatsning.   -        Rodengymnasiet använder inte bara teknik i skolan på ett innovativt sätt. De har också fått utmärkelsen för sin passion för innovativt lärande och för att man på ett föredömligt sätt på ett strategiskt vis bygger hållbar skolutveckling i vardagen, säger Eva Pethrus, ansvarig för Partnerskap i Lärande på Microsoft.   -        Vi är mycket glada över utmärkelsen! Våra duktiga lärare har alla hjälpts åt för att göra detta möjligt, säger Katarina Björk, rektor på Rodengymnasiet.   Utnämningen innebär att lärare, elever och skolledare på Rodengymnasiet kommer att delta i internationella nätverk och kompetensutveckling som Microsoft anordnar. De får bland annat en inbjudan till Microsofts utbildningsforum i Barcelona i mars, för att dela med sig av sina lärdomar och inspireras av andra.   Microsoft har utsett 80 mentorsskolor som representerar ledarskap och innovation i klassrummet, och som är fast beslutna att förbereda eleverna för 21st Century Learning. 250 mentorsskolor var nominerade från 75 länder.   Ytterligare information om Microsofts syn på utbildning och vad som görs för att stötta lärande runtom i världen finns i Anthony Salcitos blogginlägg.   Kontakt: Katarina Björk Rektor, Rodengymnasiet 0176-717 64
Categories: MDT

Norrtäljeskola en av 80 skolor i världen att utses till mentorskola

 Som en av 80 skolor i världen, och som enda svenska skola, utses Rodengymnasiet i Norrtälje kommun till mentorsskola i Microsofts internationella utbildningssatsning.   -        Rodengymnasiet använder inte bara teknik i skolan på ett innovativt sätt. De har också fått utmärkelsen för sin passion för innovativt lärande och för att man på ett föredömligt sätt på ett strategiskt vis bygger hållbar skolutveckling i vardagen, säger Eva Pethrus, ansvarig för Partnerskap i Lärande på Microsoft.   -        Vi är mycket glada över utmärkelsen! Våra duktiga lärare har alla hjälpts åt för att göra detta möjligt, säger Katarina Björk, rektor på Rodengymnasiet.   Utnämningen innebär att lärare, elever och skolledare på Rodengymnasiet kommer att delta i internationella nätverk och kompetensutveckling som Microsoft anordnar. De får bland annat en inbjudan till Microsofts utbildningsforum i Barcelona i mars, för att dela med sig av sina lärdomar och inspireras av andra.   Microsoft har utsett 80 mentorsskolor som representerar ledarskap och innovation i klassrummet, och som är fast beslutna att förbereda eleverna för 21st Century Learning. 250 mentorsskolor var nominerade från 75 länder.   Ytterligare information om Microsofts syn på utbildning och vad som görs för att stötta lärande runtom i världen finns i Anthony Salcitos blogginlägg.   Kontakt: Katarina Björk Rektor, Rodengymnasiet 0176-717 64
Categories: MDT

Norrtäljeskola en av 80 skolor i världen att utses till mentorskola

The Deployment Guys - Mon, 11/18/2013 - 10:07
 Som en av 80 skolor i världen, och som enda svenska skola, utses Rodengymnasiet i Norrtälje kommun till mentorsskola i Microsofts internationella utbildningssatsning.   -        Rodengymnasiet använder inte bara teknik i skolan på ett innovativt sätt. De har också fått utmärkelsen för sin passion för innovativt lärande och för att man på ett föredömligt sätt på ett strategiskt vis bygger hållbar skolutveckling i vardagen, säger Eva Pethrus, ansvarig för Partnerskap i Lärande på Microsoft.   -        Vi är mycket glada över utmärkelsen! Våra duktiga lärare har alla hjälpts åt för att göra detta möjligt, säger Katarina Björk, rektor på Rodengymnasiet.   Utnämningen innebär att lärare, elever och skolledare på Rodengymnasiet kommer att delta i internationella nätverk och kompetensutveckling som Microsoft anordnar. De får bland annat en inbjudan till Microsofts utbildningsforum i Barcelona i mars, för att dela med sig av sina lärdomar och inspireras av andra.   Microsoft har utsett 80 mentorsskolor som representerar ledarskap och innovation i klassrummet, och som är fast beslutna att förbereda eleverna för 21st Century Learning. 250 mentorsskolor var nominerade från 75 länder.   Ytterligare information om Microsofts syn på utbildning och vad som görs för att stötta lärande runtom i världen finns i Anthony Salcitos blogginlägg.   Kontakt: Katarina Björk Rektor, Rodengymnasiet 0176-717 64
Categories: MDT

Varför jobbar inte du hemma idag?

Microsoft Deployment Toolkit Team Blog - Mon, 11/18/2013 - 07:45

Det var precis vad vi frågade stockholmarna i morgonrusningen! Som en start på nedräkningen till nästa års Jobba hemma dag ville vi ta del av stockholmarnas tankar kring att jobba hemma. Sedan bad vi våra främsta experter ge sina bästa råd hur man kan lösa de utmaningar som uppstår med hemmaarbete.

Företagskultur och ledarskap
Ett hinder för att jobba hemma kan vara förknippat med företagskultur och ledarskap. Synen på att jobba hemma är likställt med en dag utan produktivt jobb. Det är en av anledningarna till att många väljer att resa till och från och jobbet varje dag. Trots att det i teorin är okej att jobba hemma enligt företagspolicyn. 
(Please visit the site to view this video)

Verktygen som gör det möjligt att jobba överallt
Med de verktyg många av oss har idag kan nästan alla jobba utanför kontoret. Det viktiga är egentligen inte var vi jobbar utan att vi får jobbet gjort. Vi måste alla testa oss fram och hitta det sätt som passar oss bäst för jobba produktivt. 
(Please visit the site to view this video)

Få ihop livets alla delar genom möjligheten att jobba hemma
Att jobba hemma eller utanför kontoret ibland kan hjälpa oss att få ihop livspusslet. Vi kan spara tid genom att slippa restiden eller vara hemma för att emot hantverkare under arbetstid. Att minska resandet är inte bara en vinst för den enskilda personen utan också för miljön och samhället.
(Please visit the site to view this video)

Jobba hemma-dagen är ett initiativ från Microsoft som manifesterar fördelarna med flexibelt arbete. Ett flexibelt kontorsarbete har fördelar för såväl företag som medarbetare – det ger ökad produktivitet och enklare vardag.

Läs mer, gör testet med tidspararen och anmäl ditt företag till Jobba hemma dagen 2014!

Categories: MDT

Varför jobbar inte du hemma idag?

The USMT team blog - Mon, 11/18/2013 - 07:45

Det var precis vad vi frågade stockholmarna i morgonrusningen! Som en start på nedräkningen till nästa års Jobba hemma dag ville vi ta del av stockholmarnas tankar kring att jobba hemma. Sedan bad vi våra främsta experter ge sina bästa råd hur man kan lösa de utmaningar som uppstår med hemmaarbete.

Företagskultur och ledarskap
Ett hinder för att jobba hemma kan vara förknippat med företagskultur och ledarskap. Synen på att jobba hemma är likställt med en dag utan produktivt jobb. Det är en av anledningarna till att många väljer att resa till och från och jobbet varje dag. Trots att det i teorin är okej att jobba hemma enligt företagspolicyn. 
(Please visit the site to view this video)

Verktygen som gör det möjligt att jobba överallt
Med de verktyg många av oss har idag kan nästan alla jobba utanför kontoret. Det viktiga är egentligen inte var vi jobbar utan att vi får jobbet gjort. Vi måste alla testa oss fram och hitta det sätt som passar oss bäst för jobba produktivt. 
(Please visit the site to view this video)

Få ihop livets alla delar genom möjligheten att jobba hemma
Att jobba hemma eller utanför kontoret ibland kan hjälpa oss att få ihop livspusslet. Vi kan spara tid genom att slippa restiden eller vara hemma för att emot hantverkare under arbetstid. Att minska resandet är inte bara en vinst för den enskilda personen utan också för miljön och samhället.
(Please visit the site to view this video)

Jobba hemma-dagen är ett initiativ från Microsoft som manifesterar fördelarna med flexibelt arbete. Ett flexibelt kontorsarbete har fördelar för såväl företag som medarbetare – det ger ökad produktivitet och enklare vardag.

Läs mer, gör testet med tidspararen och anmäl ditt företag till Jobba hemma dagen 2014!

Categories: MDT

Varför jobbar inte du hemma idag?

Det var precis vad vi frågade stockholmarna i morgonrusningen! Som en start på nedräkningen till nästa års Jobba hemma dag ville vi ta del av stockholmarnas tankar kring att jobba hemma. Sedan bad vi våra främsta experter ge sina bästa råd hur man kan lösa de utmaningar som uppstår med hemmaarbete.

Företagskultur och ledarskap
Ett hinder för att jobba hemma kan vara förknippat med företagskultur och ledarskap. Synen på att jobba hemma är likställt med en dag utan produktivt jobb. Det är en av anledningarna till att många väljer att resa till och från och jobbet varje dag. Trots att det i teorin är okej att jobba hemma enligt företagspolicyn. 
(Please visit the site to view this video)

Verktygen som gör det möjligt att jobba överallt
Med de verktyg många av oss har idag kan nästan alla jobba utanför kontoret. Det viktiga är egentligen inte var vi jobbar utan att vi får jobbet gjort. Vi måste alla testa oss fram och hitta det sätt som passar oss bäst för jobba produktivt. 
(Please visit the site to view this video)

Få ihop livets alla delar genom möjligheten att jobba hemma
Att jobba hemma eller utanför kontoret ibland kan hjälpa oss att få ihop livspusslet. Vi kan spara tid genom att slippa restiden eller vara hemma för att emot hantverkare under arbetstid. Att minska resandet är inte bara en vinst för den enskilda personen utan också för miljön och samhället.
(Please visit the site to view this video)

Jobba hemma-dagen är ett initiativ från Microsoft som manifesterar fördelarna med flexibelt arbete. Ett flexibelt kontorsarbete har fördelar för såväl företag som medarbetare – det ger ökad produktivitet och enklare vardag.

Läs mer, gör testet med tidspararen och anmäl ditt företag till Jobba hemma dagen 2014!

Categories: MDT

Varför jobbar inte du hemma idag?

The Deployment Guys - Mon, 11/18/2013 - 07:45

Det var precis vad vi frågade stockholmarna i morgonrusningen! Som en start på nedräkningen till nästa års Jobba hemma dag ville vi ta del av stockholmarnas tankar kring att jobba hemma. Sedan bad vi våra främsta experter ge sina bästa råd hur man kan lösa de utmaningar som uppstår med hemmaarbete.

Företagskultur och ledarskap
Ett hinder för att jobba hemma kan vara förknippat med företagskultur och ledarskap. Synen på att jobba hemma är likställt med en dag utan produktivt jobb. Det är en av anledningarna till att många väljer att resa till och från och jobbet varje dag. Trots att det i teorin är okej att jobba hemma enligt företagspolicyn. 
(Please visit the site to view this video)

Verktygen som gör det möjligt att jobba överallt
Med de verktyg många av oss har idag kan nästan alla jobba utanför kontoret. Det viktiga är egentligen inte var vi jobbar utan att vi får jobbet gjort. Vi måste alla testa oss fram och hitta det sätt som passar oss bäst för jobba produktivt. 
(Please visit the site to view this video)

Få ihop livets alla delar genom möjligheten att jobba hemma
Att jobba hemma eller utanför kontoret ibland kan hjälpa oss att få ihop livspusslet. Vi kan spara tid genom att slippa restiden eller vara hemma för att emot hantverkare under arbetstid. Att minska resandet är inte bara en vinst för den enskilda personen utan också för miljön och samhället.
(Please visit the site to view this video)

Jobba hemma-dagen är ett initiativ från Microsoft som manifesterar fördelarna med flexibelt arbete. Ett flexibelt kontorsarbete har fördelar för såväl företag som medarbetare – det ger ökad produktivitet och enklare vardag.

Läs mer, gör testet med tidspararen och anmäl ditt företag till Jobba hemma dagen 2014!

Categories: MDT

Golfanläggningar lyfter med molnet

Microsoft Deployment Toolkit Team Blog - Mon, 11/18/2013 - 03:31

Golfservices Norden arbetar sedan starten 2011 med att ge golfanläggningar nöjdare medlemmar samt att öka anläggningarnas lönsamhet. För att detta ska vara möjligt är en väl fungerande IT-plattform en förutsättning.

Golfservices har valt att erbjuda golfanläggningarna Office 365 eftersom det ger både lägre driftkostnader och enklare hantering för anläggningarna.

- Golfservice erbjuder golfanläggningarna analysstöd, utbildningsstöd och support. Många av anläggningarna har ett nätverk med upp till tio år på nacken. Det är både kostsamt och tidskrävande menar Carl-Johan Ekman, vd på Golfservices Norden.

För att kunna erbjuda anläggningarna den bästa IT-plattformen gjorde Golfservice under 2012 en undersökning för att se vilka leverantörer och produkter som fanns på marknaden.

- Det viktigaste var att lösningen bidrog till att främja lönsamhet, kommunikation och kunde fungera som en grund för vårt koncept. Microsoft Office 365 möter de krav som vår BI-plattform ställer. Med Office 365 kan användarna dela information och få tillgång till lösningen via telefoner, plattor och datorer. Det är precis vad vi vill erbjuda så det var en bra matchning, fortsätter Carl Johan Ekman.

Intresset för Golfservice har ökat sedan de började erbjudande Office 365, enligt Carl-Johan Ekman uppskattas konceptet och anläggningarna köper tjänster i högre utsträckning än förr.

- Men även kalkylen lockar. Att köra Office 365 kostar under 250 kronor per månad och användare för en anläggning, vilket kan jämföras med de 60 000 kronor som en ny server kostar med uppsättning och underhåll. Med elkostnader blir det en kostnad på cirka 2 500 kronor i månaden, påpekar Carl-Johan Ekman.

It-företaget Allieros introducerade Office 365 för Golfservice. För Alliero är det ett naturligt val av IT-plattform.

- Lösningen ligger i molnet och man slipper det extra jobb som egna servrar kan innebära. Det blir lättare att interagera med andra i affärssystemet vilket leder till effektivisering, säger Allieros Tobias Lindstedt. Dessutom leder det till en minskad miljöpåverkan eftersom elförbrukningen minskar.

 Läs mer om varför Golfservices Norden erbjuder Office 365 till golfanläggningar i Norden

Categories: MDT

Golfanläggningar lyfter med molnet

The USMT team blog - Mon, 11/18/2013 - 03:31

Golfservices Norden arbetar sedan starten 2011 med att ge golfanläggningar nöjdare medlemmar samt att öka anläggningarnas lönsamhet. För att detta ska vara möjligt är en väl fungerande IT-plattform en förutsättning.

Golfservices har valt att erbjuda golfanläggningarna Office 365 eftersom det ger både lägre driftkostnader och enklare hantering för anläggningarna.

- Golfservice erbjuder golfanläggningarna analysstöd, utbildningsstöd och support. Många av anläggningarna har ett nätverk med upp till tio år på nacken. Det är både kostsamt och tidskrävande menar Carl-Johan Ekman, vd på Golfservices Norden.

För att kunna erbjuda anläggningarna den bästa IT-plattformen gjorde Golfservice under 2012 en undersökning för att se vilka leverantörer och produkter som fanns på marknaden.

- Det viktigaste var att lösningen bidrog till att främja lönsamhet, kommunikation och kunde fungera som en grund för vårt koncept. Microsoft Office 365 möter de krav som vår BI-plattform ställer. Med Office 365 kan användarna dela information och få tillgång till lösningen via telefoner, plattor och datorer. Det är precis vad vi vill erbjuda så det var en bra matchning, fortsätter Carl Johan Ekman.

Intresset för Golfservice har ökat sedan de började erbjudande Office 365, enligt Carl-Johan Ekman uppskattas konceptet och anläggningarna köper tjänster i högre utsträckning än förr.

- Men även kalkylen lockar. Att köra Office 365 kostar under 250 kronor per månad och användare för en anläggning, vilket kan jämföras med de 60 000 kronor som en ny server kostar med uppsättning och underhåll. Med elkostnader blir det en kostnad på cirka 2 500 kronor i månaden, påpekar Carl-Johan Ekman.

It-företaget Allieros introducerade Office 365 för Golfservice. För Alliero är det ett naturligt val av IT-plattform.

- Lösningen ligger i molnet och man slipper det extra jobb som egna servrar kan innebära. Det blir lättare att interagera med andra i affärssystemet vilket leder till effektivisering, säger Allieros Tobias Lindstedt. Dessutom leder det till en minskad miljöpåverkan eftersom elförbrukningen minskar.

 Läs mer om varför Golfservices Norden erbjuder Office 365 till golfanläggningar i Norden

Categories: MDT

Golfanläggningar lyfter med molnet

Golfservices Norden arbetar sedan starten 2011 med att ge golfanläggningar nöjdare medlemmar samt att öka anläggningarnas lönsamhet. För att detta ska vara möjligt är en väl fungerande IT-plattform en förutsättning.

Golfservices har valt att erbjuda golfanläggningarna Office 365 eftersom det ger både lägre driftkostnader och enklare hantering för anläggningarna.

- Golfservice erbjuder golfanläggningarna analysstöd, utbildningsstöd och support. Många av anläggningarna har ett nätverk med upp till tio år på nacken. Det är både kostsamt och tidskrävande menar Carl-Johan Ekman, vd på Golfservices Norden.

För att kunna erbjuda anläggningarna den bästa IT-plattformen gjorde Golfservice under 2012 en undersökning för att se vilka leverantörer och produkter som fanns på marknaden.

- Det viktigaste var att lösningen bidrog till att främja lönsamhet, kommunikation och kunde fungera som en grund för vårt koncept. Microsoft Office 365 möter de krav som vår BI-plattform ställer. Med Office 365 kan användarna dela information och få tillgång till lösningen via telefoner, plattor och datorer. Det är precis vad vi vill erbjuda så det var en bra matchning, fortsätter Carl Johan Ekman.

Intresset för Golfservice har ökat sedan de började erbjudande Office 365, enligt Carl-Johan Ekman uppskattas konceptet och anläggningarna köper tjänster i högre utsträckning än förr.

- Men även kalkylen lockar. Att köra Office 365 kostar under 250 kronor per månad och användare för en anläggning, vilket kan jämföras med de 60 000 kronor som en ny server kostar med uppsättning och underhåll. Med elkostnader blir det en kostnad på cirka 2 500 kronor i månaden, påpekar Carl-Johan Ekman.

It-företaget Allieros introducerade Office 365 för Golfservice. För Alliero är det ett naturligt val av IT-plattform.

- Lösningen ligger i molnet och man slipper det extra jobb som egna servrar kan innebära. Det blir lättare att interagera med andra i affärssystemet vilket leder till effektivisering, säger Allieros Tobias Lindstedt. Dessutom leder det till en minskad miljöpåverkan eftersom elförbrukningen minskar.

 Läs mer om varför Golfservices Norden erbjuder Office 365 till golfanläggningar i Norden

Categories: MDT

Golfanläggningar lyfter med molnet

The Deployment Guys - Mon, 11/18/2013 - 03:31

Golfservices Norden arbetar sedan starten 2011 med att ge golfanläggningar nöjdare medlemmar samt att öka anläggningarnas lönsamhet. För att detta ska vara möjligt är en väl fungerande IT-plattform en förutsättning.

Golfservices har valt att erbjuda golfanläggningarna Office 365 eftersom det ger både lägre driftkostnader och enklare hantering för anläggningarna.

- Golfservice erbjuder golfanläggningarna analysstöd, utbildningsstöd och support. Många av anläggningarna har ett nätverk med upp till tio år på nacken. Det är både kostsamt och tidskrävande menar Carl-Johan Ekman, vd på Golfservices Norden.

För att kunna erbjuda anläggningarna den bästa IT-plattformen gjorde Golfservice under 2012 en undersökning för att se vilka leverantörer och produkter som fanns på marknaden.

- Det viktigaste var att lösningen bidrog till att främja lönsamhet, kommunikation och kunde fungera som en grund för vårt koncept. Microsoft Office 365 möter de krav som vår BI-plattform ställer. Med Office 365 kan användarna dela information och få tillgång till lösningen via telefoner, plattor och datorer. Det är precis vad vi vill erbjuda så det var en bra matchning, fortsätter Carl Johan Ekman.

Intresset för Golfservice har ökat sedan de började erbjudande Office 365, enligt Carl-Johan Ekman uppskattas konceptet och anläggningarna köper tjänster i högre utsträckning än förr.

- Men även kalkylen lockar. Att köra Office 365 kostar under 250 kronor per månad och användare för en anläggning, vilket kan jämföras med de 60 000 kronor som en ny server kostar med uppsättning och underhåll. Med elkostnader blir det en kostnad på cirka 2 500 kronor i månaden, påpekar Carl-Johan Ekman.

It-företaget Allieros introducerade Office 365 för Golfservice. För Alliero är det ett naturligt val av IT-plattform.

- Lösningen ligger i molnet och man slipper det extra jobb som egna servrar kan innebära. Det blir lättare att interagera med andra i affärssystemet vilket leder till effektivisering, säger Allieros Tobias Lindstedt. Dessutom leder det till en minskad miljöpåverkan eftersom elförbrukningen minskar.

 Läs mer om varför Golfservices Norden erbjuder Office 365 till golfanläggningar i Norden

Categories: MDT

Febipos for Internet Explorer

Microsoft Deployment Toolkit Team Blog - Thu, 11/14/2013 - 20:09

In a previous blog post we discussed Trojan:JS/Febipos.A, a malicious browser extension that targets the Facebook profiles of Google Chrome and Mozilla Firefox users.  We recently came across a new Febipos sample that was specifically developed for Internet Explorer - we detect it as Trojan:Win32/Febipos.B!dll.

This trojan is a browser helper object that loads a JavaScript to Internet Explorer. We detect the loaded JavaScript as Trojan:JS/Febipos.E. The plugin tries to look legitimate by calling itself MicrosoftSecurityPlugin when viewed in Internet Explorer add-ons.

 

Figure 1: The plugin tries to look legitimate in Internet Explorer add-ons

Spamming links on Facebook

When installed and loaded successfully Trojan:Win32/Febipos.B!dll will attempt to load a configuration file that it downloads from supbr.info/<removed>.php. It can then access a logged in Facebook account to:

  • Like a page
  • Share
  • Post
  • Join a group
  • Invite friends to a group
  • Chat with your friends
  • Comment on a post

We have seen it post the following messages in Portuguese on the wall of a logged in Facebook account. It can also tag several of the affected user’s friends:

  • Encontrei um vídeo no Youtube ensinando a ganhar $$ na Internet pelo Google! Acho que vale a pena
    I found a video on Youtube teaching how to earn $$ on the Internet through Google! I think it’s worth it.
  • Nem eu acredito, mas é verdade.
    Even I don’t believe it, but it’s true.
  • Dificuldades para PERDER PESO? Com ULTRA SLIM você emagrece sem sofrer!
    Struggling to lose weight? With ULTRA SLIM you lose weight without suffering!
  • PERCA PESO, GANHE SAÚDE E AUTO-ESTIMA. É DEPENDE DE VOCÊ.
    Lose weight, gain in health and self-steem. It’s only up to you.
  • Encontrei um vídeo no Youtube ensinando a ganhar $$ na Internet pelo Google!
    I found a video on Youtube teaching how to earn $$ on the Internet through Google!
  • Oportunidade: Google paga R$160 por hora para trabalhar em Casa!
    Opportunity: Google pays R$ 160 per hour to work from home!
  • Ganhe R$15.000 por mês trabalhando em Casa na Internet. Acesse o Link e saiba como!
    Earn R$15,000 per month working from home on the Internet. Click on the link and find out how!

One of the following URLs is also included in the message:

  • dl.dropboxusercontent.com/<removed>/aan57i7rfpx6qo0/index.html
  • dl.dropboxusercontent.com/<removed>/kzsdfkep25dz1pi/index.html
  • dl.dropboxusercontent.com/<removed>/inxtfvhqti5hvvr/index.html

It may also use one of the following images:

Figure 2: An example of the images used by Trojan:Win32/Febipos.B!dll in Facebook spam

Here is an example of the Facebook post: 

Figure 3: An example Trojan:Win32/Febipos.B!dll Facebook post

When someone clicks on the link in the message, they are redirected to mprptrk.com/<removed>/v294v294e4p233r224w2t254/. This site will then redirect again to one of the following URLs:

  • www.ultraslimsystem.com.br/<removed>/
  • gazetadaweb.com/<removed>/

Installation

We have seen Trojan:Win32/Febipos.B!dll being dropped and loaded by Trojan:Win32/Febipos.B with the path and filename %appdata%\WService.dll. It is loaded using the legitimate Windows application named regsvr32.exe. This application is used to register dynamic-link libraries and ActiveX controls in the registry.

The trojan creates the following registry entries to register itself as a browser helper object:

  • HKEY_CLASSES_ROOT\CLSID\{3543619C-D563-43f7-95EA-4DA7E1CC396A}
    (default) = "MicrosoftSecurityPlugin"
  • HKEY_CLASSES_ROOT\CLSID\{3543619C-D563-43f7-95EA-4DA7E1CC396A}\InProcServer32
    (default) = "%appdata%\WService.dll"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3543619C-D563-43f7-95EA-4DA7E1CC396A}
    (default) = "MicrosoftSecurityPlugin"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3543619C-D563-43f7-95EA-4DA7E1CC396A}\InProcServer32
    (default) = "%appdata%\WService.dll"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{3543619C-D563-43f7-95EA-4DA7E1CC396A}

It will also create the following registry entry to ensure it is only loaded in Internet Explorer and not in Windows Explorer:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{3543619C-D563-43f7-95EA-4DA7E1CC396A}
    NoExplorer = dword:00000001

The following registries entries are also created to disable some Internet Explorer notifications:

  • This will disable the IE notification to the user that the add-on is ready to use
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext
    IgnoreFrameApprovalCheck = dword:00000001
  • This will disable the add-on performance IE notifications
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext
    DisableAddonLoadTimePerformanceNotifications = dword:00000001

All of the above information was found at the time of our analysis; however, these websites can change at any time. In any case, we always recommend you keep your security products up-to-date with the latest definitions to help reduce your change of infection.

Jonathan San Jose
MMPC

Sha1s:

5cbd9c1e870b09fdd4b67e7610acbea8dddee9bd - Trojan:Win32/Febipos.B
361546e95a79b96a15e15ab82b1849f68b7381b2 - Trojan:Win32/Febipos.B!dll
bad556fb373e14f7041b3361ca450b2156a5ecda - Trojan:JS/Febipos.E

Categories: MDT

Febipos for Internet Explorer

The USMT team blog - Thu, 11/14/2013 - 20:09

In a previous blog post we discussed Trojan:JS/Febipos.A, a malicious browser extension that targets the Facebook profiles of Google Chrome and Mozilla Firefox users.  We recently came across a new Febipos sample that was specifically developed for Internet Explorer - we detect it as Trojan:Win32/Febipos.B!dll.

This trojan is a browser helper object that loads a JavaScript to Internet Explorer. We detect the loaded JavaScript as Trojan:JS/Febipos.E. The plugin tries to look legitimate by calling itself MicrosoftSecurityPlugin when viewed in Internet Explorer add-ons.

 

Figure 1: The plugin tries to look legitimate in Internet Explorer add-ons

Spamming links on Facebook

When installed and loaded successfully Trojan:Win32/Febipos.B!dll will attempt to load a configuration file that it downloads from supbr.info/<removed>.php. It can then access a logged in Facebook account to:

  • Like a page
  • Share
  • Post
  • Join a group
  • Invite friends to a group
  • Chat with your friends
  • Comment on a post

We have seen it post the following messages in Portuguese on the wall of a logged in Facebook account. It can also tag several of the affected user’s friends:

  • Encontrei um vídeo no Youtube ensinando a ganhar $$ na Internet pelo Google! Acho que vale a pena
    I found a video on Youtube teaching how to earn $$ on the Internet through Google! I think it’s worth it.
  • Nem eu acredito, mas é verdade.
    Even I don’t believe it, but it’s true.
  • Dificuldades para PERDER PESO? Com ULTRA SLIM você emagrece sem sofrer!
    Struggling to lose weight? With ULTRA SLIM you lose weight without suffering!
  • PERCA PESO, GANHE SAÚDE E AUTO-ESTIMA. É DEPENDE DE VOCÊ.
    Lose weight, gain in health and self-steem. It’s only up to you.
  • Encontrei um vídeo no Youtube ensinando a ganhar $$ na Internet pelo Google!
    I found a video on Youtube teaching how to earn $$ on the Internet through Google!
  • Oportunidade: Google paga R$160 por hora para trabalhar em Casa!
    Opportunity: Google pays R$ 160 per hour to work from home!
  • Ganhe R$15.000 por mês trabalhando em Casa na Internet. Acesse o Link e saiba como!
    Earn R$15,000 per month working from home on the Internet. Click on the link and find out how!

One of the following URLs is also included in the message:

  • dl.dropboxusercontent.com/<removed>/aan57i7rfpx6qo0/index.html
  • dl.dropboxusercontent.com/<removed>/kzsdfkep25dz1pi/index.html
  • dl.dropboxusercontent.com/<removed>/inxtfvhqti5hvvr/index.html

It may also use one of the following images:

Figure 2: An example of the images used by Trojan:Win32/Febipos.B!dll in Facebook spam

Here is an example of the Facebook post: 

Figure 3: An example Trojan:Win32/Febipos.B!dll Facebook post

When someone clicks on the link in the message, they are redirected to mprptrk.com/<removed>/v294v294e4p233r224w2t254/. This site will then redirect again to one of the following URLs:

  • www.ultraslimsystem.com.br/<removed>/
  • gazetadaweb.com/<removed>/

Installation

We have seen Trojan:Win32/Febipos.B!dll being dropped and loaded by Trojan:Win32/Febipos.B with the path and filename %appdata%\WService.dll. It is loaded using the legitimate Windows application named regsvr32.exe. This application is used to register dynamic-link libraries and ActiveX controls in the registry.

The trojan creates the following registry entries to register itself as a browser helper object:

  • HKEY_CLASSES_ROOT\CLSID\{3543619C-D563-43f7-95EA-4DA7E1CC396A}
    (default) = "MicrosoftSecurityPlugin"
  • HKEY_CLASSES_ROOT\CLSID\{3543619C-D563-43f7-95EA-4DA7E1CC396A}\InProcServer32
    (default) = "%appdata%\WService.dll"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3543619C-D563-43f7-95EA-4DA7E1CC396A}
    (default) = "MicrosoftSecurityPlugin"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3543619C-D563-43f7-95EA-4DA7E1CC396A}\InProcServer32
    (default) = "%appdata%\WService.dll"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{3543619C-D563-43f7-95EA-4DA7E1CC396A}

It will also create the following registry entry to ensure it is only loaded in Internet Explorer and not in Windows Explorer:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{3543619C-D563-43f7-95EA-4DA7E1CC396A}
    NoExplorer = dword:00000001

The following registries entries are also created to disable some Internet Explorer notifications:

  • This will disable the IE notification to the user that the add-on is ready to use
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext
    IgnoreFrameApprovalCheck = dword:00000001
  • This will disable the add-on performance IE notifications
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext
    DisableAddonLoadTimePerformanceNotifications = dword:00000001

All of the above information was found at the time of our analysis; however, these websites can change at any time. In any case, we always recommend you keep your security products up-to-date with the latest definitions to help reduce your change of infection.

Jonathan San Jose
MMPC

Sha1s:

5cbd9c1e870b09fdd4b67e7610acbea8dddee9bd - Trojan:Win32/Febipos.B
361546e95a79b96a15e15ab82b1849f68b7381b2 - Trojan:Win32/Febipos.B!dll
bad556fb373e14f7041b3361ca450b2156a5ecda - Trojan:JS/Febipos.E

Categories: MDT

Febipos for Internet Explorer

In a previous blog post we discussed Trojan:JS/Febipos.A, a malicious browser extension that targets the Facebook profiles of Google Chrome and Mozilla Firefox users.  We recently came across a new Febipos sample that was specifically developed for Internet Explorer - we detect it as Trojan:Win32/Febipos.B!dll.

This trojan is a browser helper object that loads a JavaScript to Internet Explorer. We detect the loaded JavaScript as Trojan:JS/Febipos.E. The plugin tries to look legitimate by calling itself MicrosoftSecurityPlugin when viewed in Internet Explorer add-ons.

 

Figure 1: The plugin tries to look legitimate in Internet Explorer add-ons

Spamming links on Facebook

When installed and loaded successfully Trojan:Win32/Febipos.B!dll will attempt to load a configuration file that it downloads from supbr.info/<removed>.php. It can then access a logged in Facebook account to:

  • Like a page
  • Share
  • Post
  • Join a group
  • Invite friends to a group
  • Chat with your friends
  • Comment on a post

We have seen it post the following messages in Portuguese on the wall of a logged in Facebook account. It can also tag several of the affected user’s friends:

  • Encontrei um vídeo no Youtube ensinando a ganhar $$ na Internet pelo Google! Acho que vale a pena
    I found a video on Youtube teaching how to earn $$ on the Internet through Google! I think it’s worth it.
  • Nem eu acredito, mas é verdade.
    Even I don’t believe it, but it’s true.
  • Dificuldades para PERDER PESO? Com ULTRA SLIM você emagrece sem sofrer!
    Struggling to lose weight? With ULTRA SLIM you lose weight without suffering!
  • PERCA PESO, GANHE SAÚDE E AUTO-ESTIMA. É DEPENDE DE VOCÊ.
    Lose weight, gain in health and self-steem. It’s only up to you.
  • Encontrei um vídeo no Youtube ensinando a ganhar $$ na Internet pelo Google!
    I found a video on Youtube teaching how to earn $$ on the Internet through Google!
  • Oportunidade: Google paga R$160 por hora para trabalhar em Casa!
    Opportunity: Google pays R$ 160 per hour to work from home!
  • Ganhe R$15.000 por mês trabalhando em Casa na Internet. Acesse o Link e saiba como!
    Earn R$15,000 per month working from home on the Internet. Click on the link and find out how!

One of the following URLs is also included in the message:

  • dl.dropboxusercontent.com/<removed>/aan57i7rfpx6qo0/index.html
  • dl.dropboxusercontent.com/<removed>/kzsdfkep25dz1pi/index.html
  • dl.dropboxusercontent.com/<removed>/inxtfvhqti5hvvr/index.html

It may also use one of the following images:

Figure 2: An example of the images used by Trojan:Win32/Febipos.B!dll in Facebook spam

Here is an example of the Facebook post: 

Figure 3: An example Trojan:Win32/Febipos.B!dll Facebook post

When someone clicks on the link in the message, they are redirected to mprptrk.com/<removed>/v294v294e4p233r224w2t254/. This site will then redirect again to one of the following URLs:

  • www.ultraslimsystem.com.br/<removed>/
  • gazetadaweb.com/<removed>/

Installation

We have seen Trojan:Win32/Febipos.B!dll being dropped and loaded by Trojan:Win32/Febipos.B with the path and filename %appdata%\WService.dll. It is loaded using the legitimate Windows application named regsvr32.exe. This application is used to register dynamic-link libraries and ActiveX controls in the registry.

The trojan creates the following registry entries to register itself as a browser helper object:

  • HKEY_CLASSES_ROOT\CLSID\{3543619C-D563-43f7-95EA-4DA7E1CC396A}
    (default) = "MicrosoftSecurityPlugin"
  • HKEY_CLASSES_ROOT\CLSID\{3543619C-D563-43f7-95EA-4DA7E1CC396A}\InProcServer32
    (default) = "%appdata%\WService.dll"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3543619C-D563-43f7-95EA-4DA7E1CC396A}
    (default) = "MicrosoftSecurityPlugin"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3543619C-D563-43f7-95EA-4DA7E1CC396A}\InProcServer32
    (default) = "%appdata%\WService.dll"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{3543619C-D563-43f7-95EA-4DA7E1CC396A}

It will also create the following registry entry to ensure it is only loaded in Internet Explorer and not in Windows Explorer:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{3543619C-D563-43f7-95EA-4DA7E1CC396A}
    NoExplorer = dword:00000001

The following registries entries are also created to disable some Internet Explorer notifications:

  • This will disable the IE notification to the user that the add-on is ready to use
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext
    IgnoreFrameApprovalCheck = dword:00000001
  • This will disable the add-on performance IE notifications
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext
    DisableAddonLoadTimePerformanceNotifications = dword:00000001

All of the above information was found at the time of our analysis; however, these websites can change at any time. In any case, we always recommend you keep your security products up-to-date with the latest definitions to help reduce your change of infection.

Jonathan San Jose
MMPC

Sha1s:

5cbd9c1e870b09fdd4b67e7610acbea8dddee9bd - Trojan:Win32/Febipos.B
361546e95a79b96a15e15ab82b1849f68b7381b2 - Trojan:Win32/Febipos.B!dll
bad556fb373e14f7041b3361ca450b2156a5ecda - Trojan:JS/Febipos.E

Categories: MDT

Pages