» Menu Principal |
|
|
» Publicidad |
|
|
|
|
» Conoce la Potencia Necesaria de tu PSU |
|
|
 |
|
|
 |
18-09-2007, 17:57
|
Administrador
Puntos: 94,362, Nivel: 43 |
Nivel máximo: 96%, 188 Puntos |
Fecha de Ingreso: Jul 2007
Mensajes: 3,548
Pais: 
|
[TUTORIAL] Diferentes Tipos de Virus y Malware.
Diferentes Tipos de Virus y Malware.
Poco a poco iremos añadiendo mas terminos para que sepais diferenciar cada uno de ellos y que es lo que hacen.
Gusano
Los gusanos tienen ciertas similitudes con los virus informáticos, pero también diferencias fundamentales. Un gusano se parece a un virus en que su principal función es reproducirse, pero por el contrario de cómo lo hacen los virus, en lugar de copiarse dentro de otros archivos, un gusano crea nuevas copias de si mismo para replicarse.
En síntesis, lo que caracteriza a un gusano es que para reproducirse genera nuevas copias de si mismo dentro del mismo sistema infectado o en otros sistemas remotos, a través de algún medio de comunicación, como bien puede ser internet o una red informática.
Gusano de Internet
Un gusano de internet es un tipo especifico de gusano que aprovecha los medios que provee la red de redes para reproducirse a través de ella.
Como cualquier gusano, su fin es replicarse a nuevos sistemas para infectarlos y seguir replicándose a otros equipos informáticos, pero lo que lo califica como un gusano de internet es que aprovecha medios como el correo electrónico, IRC, FTP, y otros protocolos específicos o ampliamente utilizados en internet.
Los virus informáticos de mayor reproducción hoy en día son justamente aquellos con características de gusanos de internet.
Gusano y Troyano
Amenaza informática que combina capacidades de gusanos con otras utilizadas por los troyanos.
Infector de Archivos
Existen virus que aprovechan vulnerabilidades y/o funcionalidades de ciertas aplicaciones para replicarse en los archivos que éstas utilizan. Un ejemplo de esto son aquellos virus capaces de reproducirse en algunas versiones de Adobe Acrobat a través de archivos PDF.
El hecho de decir que un virus infecta un archivo significa que el virus copia su código dentro del archivo, de manera que cuando éste sea abierto, la aplicación que lee el archivo, también lea el código del virus y así el mismo pueda reproducirse infectando otros archivos y realizando las acciones para las que esté programado.
Infector de Ejecutables
Es el virus por excelencia; una rutina o programa capaz de infectar otros archivos ejecutables, como los .EXE, .COM y .SCR bajo Windows, incluyendo dentro del código original, las funcionalidades propias del virus.
Para infectar otros archivos ejecutables, estos virus copian su contenido dentro de ellos, y los modifican de manera que, cuando el archivo sea abierto por el usuario, o automáticamente si se trata de un proceso, el propio virus también se ejecute.
Los primeros virus eran de este tipo, y aún hoy en día son de los más peligrosos, dado que su presencia muchas veces no puede ser detectada si no se cuenta con un antivirus actualizado ya que se esconden dentro de programas normales ya existentes en el sistema.
Macrovirus
Clase de virus que se reproduce aprovechando la posibilidad de programación, normalmente llamada Macros, que tienen documentos de algunos programas.
Estos virus se alojan en documentos de Word, plantillas de Excel, presentaciones de PowerPoint, archivos de CorelDraw y Visio, y pueden existir macrovirus para todos los documentos no ejecutables de aplicaciones que utilicen Macros o algún lenguaje de programación embebido.
Uno de los más famosos macrovirus fue el W97M/Melissa, un virus que, alojándose en documentos de Word, era capaz de reproducirse por correo electrónico.
NewHeur_PE
Denominación utilizada por NOD32 cuando un potencial nuevo virus es detectado por la tecnología heurística.
Polimórfico
Este tipo de virus tienen una cualidad muy importante: pueden cambiar de forma. Pero, ¿qué quiere decir que un programa informático, como un virus, pueda cambiar de forma?
Lo que realmente hace el virus es copiarse en memoria, volver a compilarse tras cambiar su estructura interna, tal como nombres de variables, funciones, etc, y volver a compilarse, de manera que una vez creado nuevamente un especimen del virus, es distinto del original.
Existen virus de un polimorfismo avanzado que no sólo cambian varialbes y funciones sino mucho más, e incluso hay algunos nuevos tipos de virus polimórficos que son llamados metamórficos por su capacidad de cambiarse casi completamente creando una copia nueva de si misma, que puede no ser detectada por la mayoría de los antivirus.
Para los fanáticos de los virus informáticos, los polimórficos son uno de los especimenes más interesantes dada su capacidad cameleónica.
Residente
Se denomina un virus residente cuando es capaz de mantenerse en memoria desde el inicio del equipo infectado, ya sea cargóndose desde el sector de arranque del mismo o como un servicio del sistema operativao, hasta que el mismo se apaga.
Un ordenador infectado por este tipo de virus suele ser díficil de limpiar, dado que en muchos casos requieren que se reinicie el equipo con un disco de arranque (bajo Windows 9x/Me) o con el disco de emergencia (Windows NT/2000/XP) para evitar que se carguen en memoria.
Troyano
Programas que, enmascarados de alguna forma como un juego o similar, buscan hacer creer al usuario que son inofensivos, para realizar acciones maliciosas en su equipo.
Estos troyanos no son virus ni gusanos dado que no tienen capacidad para replicarse por si mismos, pero en muchos casos, los virus y gusanos liberan troyanos en los sistemas que infectan para que cumplan funciones especificas, como, por ejemplo, capturar todo lo que el usuario ingresa por teclado (keylogger).
La principal utilización de los troyanos es para obtener acceso remoto a un sistema infectado a través de una puerta trasera. Este tipo de troyano es conocido como Backdoor.
Virus y Troyano
Amenaza informática que combina capacidades de virus con otras utilizadas por los troyanos.
|
|
|
19-09-2007, 19:47
|
Administrador
Puntos: 94,362, Nivel: 43 |
Nivel máximo: 96%, 188 Puntos |
Fecha de Ingreso: Jul 2007
Mensajes: 3,548
Pais:
|
Re: [TUTORIAL] Diferentes Tipos de Virus y Malware.
Bueno continuamos con los diferentes tipos de Malware.
Adware
Este software muestra anuncios publicitarios que aparecen inesperadamente en su equipo. Algunas empresas ofrecen software "gratuito" a cambio de publicitarse en su pantalla y puede ser que al instalar un programa, le instale un Spyware sin que lo note.
Backdoor
Una puerta trasera (también conocidos como Backdoor) es un software que permite el acceso al sistema de la computadora ignorando los procedimientos normales de autenticación o facilita la entrada a la información de un usuario sin su permiso o conocimiento. Según como trabajan e infectan a otros equipos, existen dos tipos de puertas traseras. El primer grupo se asemeja a los caballos de troya, es decir, son manualmente insertados dentro de algún otro software, ejecutados por el software contaminado e infecta al sistema para poder ser instalado permanentemente. El segundo grupo funciona de manera parecida a un gusano informático, el cuál es ejecutado como un procedimiento de inicialización del sistema y normalmente infecta por medio de gusanos que lo llevan como carga.
Bomba fork
Programa que se autoreplica velozmente para ocupar toda la memoria y capacidad de proceso del ordenador donde se ejecutan.
Bots
A través de órdenes enviadas desde otra computadora controlan el equipo personal de quien quieren afectar.
Bug
Es todo error en la programación, que impide funcionar bien a los equipos de cómputo, se le llama así por la entrada de una polilla en una computadora que funcionaba a base de válvulas de vacío, lo cual impedía su actividad y por similitud se le llama así.
La imagen muestra la polilla enconträda el 9 de septiembre de 1947, atrapada entre los puntos en el relé # 70, panel F, de la Mark II Construida por Aiken, cuando era probada en la Universidad de Harvard.
Los operadores pusieron la polilla en el diario de cómputo, con la información de: " First Actual case of bug being found" (primer caso real de insecto encontrado). Pusieron la palabra "debugging a computer program” es decir de que "habían eliminado errores de la máquina”, así fue como se introdujo el término.
El registro, con la polilla incrustado, estaba en el museo del centro de cómputo Naval Surface Warfare en Dahlgren, Virginia (1988).
Caballo de Troya
Un programa caballo de Troya (también llamado Troyano) es una pieza de software dañino disfrazado de software legítimo. Los caballos de Troya no son capaces de replicarse por sí mismos y pueden ser adjuntados con cualquier tipo de software por un programador o puede contaminar a los equipos por medio del engaño.
Su nombre es dado por su peculiar forma de actuar como los Troyanos de la historia, entrando en la computadora, ocultos en otros programas aparentemente útiles e inofensivos pero que al activarse crean problemas a la computadora al desarrollar la acción de estos archivos infecciosos.
Cookies
Es el tipo de almacenamiento de información guardado en el propio equipo que puede hacer normalmente el seguimiento de las preferencias en Internet, dándole una clave que su creador podrá identificar para con ello tener una referencia de visitas en ocasiones con la finalidad de medir preferencias de mercado. Pero también por lo mismo puede ser usada por hackers para chequear qué páginas consulta un usuario regularmente quitándole intimidad. Estas cookies se pueden aceptar o evitar en nuestros equipos, por medio de la configuración de la carpeta de privacidad de las opciones de Internet.
Crackers
Además de referirse a hackers con malas intenciones, son programas que monitorean las contraseñas en las aplicaciones de la maquina. Se conocen también como ladrones de contraseñas.
Cryptovirus Ransomware ó Secuestradores
Es el programa que entra a la computadora y cifra los archivos del disco duro, pidiendo que se envié el (rescate) pago vía Internet para obtener (la liberación del rehén) la clave de dicha codificación.
Dialers
Los dialers son programas que llaman a un número de larga distancia, para a través de su módem entrar con o sin su consentimiento principalmente a páginas de juegos o pornográficas.
Exploit
Un exploit es aquel software que ataca una vulnerabilidad particular de un sistema operativo. Los exploits no son necesariamente maliciosos –son generalmente creados por investigadores de seguridad informática para demostrar que existe una vulnerabilidad. Y por esto son componentes comunes de los programas maliciosos como los gusanos informáticos.
Hijacker
Programa que realiza cambios en la configuración de la página de inicio del navegador, que lo redirige a otra de características indeseables como son las pornográficas y más peligrosamente a copias casi fieles de las bancarias.
Hoaxes, Jokes o Bulos
Son bromas que semejan ser virus, pero que, ciertamente no los son. Normalmente una persona conocida nuestra recibe una “alarma” de un supuesto virus y nos hace el favor de notificarnos para que tomemos precauciones en nuestro equipo.
El objetivo de la persona que inició el rumor o hoax se ha cumplido, al preocupar al usuario con la broma y que, en muchos casos, pueden hacer al usuario auto eliminar el supuesto archivo contaminado y cual podría afectar realmente al funcionamiento del sistema.
Keystroke o keyloggers
Son caballos de Troya o Troyanos, que monitorean el sistema de la computadora registrando las pulsaciones del teclado, para robar las claves y passwords en páginas financieras y correos electrónicos.
Ladilla virtual (virtual crab)
Tipo de malware que suele contagiarse a través de sitios web pornográficos, por analogía con los parásitos de transmisión sexual.
Leapfrog
Las ranas como también se conocen en español son programas que entran a los equipos para conocer las claves de acceso y las cuentas de correo almacenadas para ser utilizadas en la replicación de estos.
Phishings
Específicamente se refiere al intento de robo de información personal o financiera de manera electrónica utilizando el nombre de un tercero (banco).
Del inglés "fishing" (pescando), se utiliza para identificar la acción fraudulenta de conseguir información confidencial, vía correo electrónico, con el propósito de que los usuarios de cuentas bancarias lo contesten, o entren a páginas aparentemente iguales a la real del banco.
Nunca dé información de sus cuentas bancarias por otros medios que no sean en las sucursales correspondientes a su banco, ya que por medio de correos electrónicos con enlaces supuestamente del banco le pueden solicitar sus números de cuentas y contraseña, con lo que les está dando todo para que puedan cometer el fraude.
El nuevo método de entrar a las páginas Web de los diferentes Bancos de algunos países, es usando el generador de claves dinámicas de las compañías Secure Computing y el RSA SecurID, con lo que se espera terminar con los Phishing.
Un nuevo ataque de los pescadores de datos (fishing), es pidiéndole que entre en una página en que se le indica que sincronice su generador de claves, con lo que inmediatamente entran a la cuenta del usuario sacando lo que puedan y cambiando hasta las claves de acceso.
Pornware
Describe programas que usan el MODEM de la computadora para conectarse a servicios de pago por evento pornográfico o para bajar contenidos pornográficos de la Web. Es un caso particular de Dialers.
Es un auténtico fraude mediante información engañosa, manifiestan que es completamente gratuito, el sitio a visitar es en efecto sin costo, pero solo se tiene acceso por vía telefónica (MODEM), que resulta con una alta tarifa por minuto que se refleja en el recibo telefónico (por lo regular utilizan una clave de larga distancia internacional (900) con un cargo aproximado de $20.00 USD por minuto). Esta técnica fraudulenta se utiliza también usando como señuelo videojuegos, salva pantallas, programas o cualquier otra falacia que requiera acceso mediante un MODEM telefónico.
Primero se descarga desde algún sitio que ofrece todo absolutamente gratis un pequeño programa ejecutable, que coloca en el escritorio de la PC un llamativo ícono para que cualquier incauto con un simple click haga el enlace mencionado, aparecen insistentes mensajes sugiriendo de que todo es completamente gratis y sin límite de tiempo.
Sin embargo, se están extinguiendo por dejarse de lado los Modems convencionales de 56Kbps y usarse Tarifas Planas en Red ethernet de Banda ancha o ADSL
Rabbit o conejos
Reciben este nombre algunos gusanos informáticos, cuyos códigos malignos llenan el disco duro con sus reproducciones en muy poco tiempo y que también pueden saturar el ancho de banda de una red rápidamente.
Riskware
Programas originales, como las herramientas de administración remota, que contienen agujeros usados por los crackers para realizar acciones dañinas.
Rootkit
Los rootkit son programas que son insertados en una computadora después de que algún atacante ha ganado el control de un sistema. Los rootkit generalmente incluyen funciones para ocultar los rastros del ataque, como es borrar los log de entradas o encubrir los procesos del atacante. Los rootkit pueden incluir puertas traseras, permitiendo al atacante obtener de nuevo acceso al sistema o también pueden incluir exploits para atacar otros sistemas.
Scumware o escoria
Programa que evita ser desinstalado o eliminado a toda costa, pues cuenta con protección para no permitirlo, con lo cual se convierte en un programa indeseable y molesto.
Spam
Se le llama a los e-mailes basura, que son mandados a direcciones electrónicas compradas por empresas con la finalidad de vender sus productos. Últimamente han surgido páginas con mensajes que aparecen en un corto instante de tiempo (efecto flash) tratando de producir en el inconsciente de la mente la necesidad de comprar el producto anunciado como si de un mensaje subliminal se tratara.
Spyware
Los Spywares o Programa espía, son aplicaciones que se dedican a recopilar información del sistema en el que se encuentran instaladas para luego enviarla a través de Internet, [8] generalmente a alguna empresa de publicidad. Todas estas acciones se enmascaran tras confusas autorizaciones al instalar terceros programas, por lo que rara vez el usuario es conciente de ello. Normalmente trabajan y contaminan sistemas como lo hacen los caballos de troya.
Ventanas emergentes/POP-UPS
Son ventanas muy molestas que normalmente aparecen al navegar y muestran publicidad o información que es difícil de eliminar y que aparece constantemente.
Virus alcalino
Este es un tipo de virus mitad spyware, mitad backdoor, suele residir en las ventanas del sistema observando incesantemente hasta que se echa al acecho de un usuario.
Worms o gusanos
Los gusanos informáticos son similares a los virus, pero los gusanos no dependen de archivos portadores para poder contaminar otros sistemas. Estos pueden modificar el sistema operativo con el fin de auto ejecutarse como parte del proceso de inicialización del sistema. Para contaminar otros sistemas, los gusanos explotan vulnerabilidades del objetivo o utilizan algún tipo de ingeniería social para engañar a los usuarios y poderse ejecutar.
Métodos de protección
# Utilizar una cuenta de usuario con pocos privilegios (no administrador) en su equipo, solo utilizar la cuenta de administrador cuándo se deba cambiar una configuración o instalar un software de confianza. De todas maneras, se debe ser cauteloso con lo que se ejecuta.
# Cada vez que se transfiera un archivo desde o hacia Internet se debe tener la precaución de revisarlo contra virus, crimeware o malwares, pero lo más importante saber de dónde proviene.
# Se debe comprobar todos y cada uno de los medios magnéticos (Diskettes, ya en desuso), soportes ópticos (CDS, DVD, Blueray) o tarjetas de memoria (SD, MMC, XD, compact Flash), que se introduzcan en el ordenador.
# Comprobar los archivos comprimidos (ZIP, RAR, ACE, CAB, 7z..).
# Hacer copias de respaldo de programas y documentos importantes, podrías guardarlos en un Pendrive, CD, DVD, entre otros medios externos.
# No instalar programas de dudoso origen.
# Evita navegar por sitios potencialmente dañinos buscando cosas como "pornografía gratis", "programas gratis", "mp3 gratis", claves, licencias o cracks para los programas comerciales (existen alternativas gratis).
# Evita descargar programas, archivos comprimidos o ejecutables, desde redes peer-to-peer ya que no sabes el real contenido de la descarga.
# Mantener actualizado tu sistema operativo. Por ejemplo si usas Windows XP, no se te olvide tener el Service Pack 2 instalado y también las posteriores actualizaciones.
# Tener un programa antivirus y firewall llamados también cortafuegos instalados en tu ordenador, así como también anti-espías .
# También es importante tener actualizados estos programas ya que cada día aparecen nuevas amenazas.
# Desactivar la interpretación de Visual Basic VBS y permitir JavaScript JS, ActiveX y cookies sólo en páginas web de confianza.
# Usar preferentemente navegadores como Opera o Firefox entre otros.
# Seguir las politicas de seguridad en cómputo
# Por último también puedes probar alternativas diferentes como sistema operativo, tales como alguna distribución de GNU/Linux.
COMO SOLUCIONAR ESTE TIPO DE PROBLEMAS Y PONER EL PC A PUNTO.
He desarrolado anteriormente unos turoriales que os pueden venir muy bien para limpiar el pc de cualquier malware y solucionar anomalias.
[Solo usuarios Registrados Pueden Ver Enlaces. Click AQUI para REGISTRARTE es GRATIS...]
[Solo usuarios Registrados Pueden Ver Enlaces. Click AQUI para REGISTRARTE es GRATIS...]
[Solo usuarios Registrados Pueden Ver Enlaces. Click AQUI para REGISTRARTE es GRATIS...]
[Solo usuarios Registrados Pueden Ver Enlaces. Click AQUI para REGISTRARTE es GRATIS...]
[Solo usuarios Registrados Pueden Ver Enlaces. Click AQUI para REGISTRARTE es GRATIS...]
Espero que os haya servido de ayuda toto esto. |
|
|
|
19-09-2007, 19:55
|
Miembro
Nivel máximo: 19%, 99 Puntos |
Fecha de Ingreso: Jul 2007
Mensajes: 72
|
Re: [TUTORIAL] Diferentes Tipos de Virus y Malware.
Excelente!! Ahora cuando nos salga una alerta de algun virus de parte del antivirus ya sabemos que es ese nombre raro que aparece :P y tambien es muy util para saber como evitarlos *PDT_003
__________________
|
|
|
|
03-10-2008, 23:49
|
Moderador Global
Puntos: 16,421, Nivel: 18 |
Nivel máximo: 66%, 629 Puntos |
Fecha de Ingreso: Apr 2008
Mensajes: 1,565
Pais: 
|
Estudýo de los výrus ýnformatýcos
ESTUDIO DE LOS VIRUS INFORMATICOS
El escenario electrónico actual es que las organizaciones están uniendo sus redes internas a la Internet, la que crece a razón de más de un 10% mensual.
Al unir una red a la Internet se tiene acceso a las redes de otras organizaciones también unidas. De la misma forma en que accedemos la oficina del frente de nuestra empresa, se puede recibir información de un servidor en Australia, conectarnos a una supercomputadora en Washington o revisar la literatura disponible desde Alemania. Del universo de varias decenas de millones de computadoras interconectadas, no es difícil pensar que puede haber más de una persona con perversas intenciones respecto de una organización. Por eso, se debe tener nuestra red protegida adecuadamente.
Cada vez es más frecuente encontrar noticias referentes a que redes de importantes organizaciones han sido violadas por criminales informáticos desconocidos. A pesar de que la prensa ha publicitado que tales intrusiones son solamente obra de adolescentes con propósitos de entretenerse o de jugar, ya no se trata de un incidente aislado de una desafortunada institución. A diario se reciben reportes los ataques a redes informáticas, los que se han vuelto cada vez más siniestros: los archivos son alterados subrepticiamente, las computadoras se vuelven inoperativas, se ha copiado información confidencial sin autorización, se ha reemplazado el software para agregar "puertas traseras" de entrada, y miles de contraseñas han sido capturadas a usuarios inocentes. Los administradores de sistemas deben gastar horas y a veces días enteros volviendo a cargar o reconfigurando sistemas comprometidos, con el objeto de recuperar la confianza en la integridad del sistema. No hay manera de saber los motivos que tuvo el intruso, y debe suponerse que sus intenciones son lo peor. Aquella gente que irrumpe en los sistemas sin autorización, aunque sea solamente para mirar su estructura, causa mucho daño, incluso sin que hubieran leído la correspondencia confidencial y sin borrar ningún archivo.
De acuerdo a un estudio de la Consultora “Ernst and Young” abarcando más de mil empresas, un 20% reporta pérdidas financieras como consecuencia de intrusiones en sus computadoras. Ya pasaron los tiempos en que la seguridad de las computadoras era sólo un juego o diversión.
¿Cómo nacieron los virus?
Hacia finales de los años 60, Douglas McIlory, Victor Vysottsky y Robert Morris idearon un juego al
que llamaron Core War (Guerra en lo Central, aludiendo a la memoria de la computadora), que se convirtió en el pasatiempo de algunos de los programadores de los laboratorios Bell de AT&T.
El juego consistía en que dos jugadores escribieran cada uno un programa llamado organismo, cuyo hábitat fuera la memoria de la computadora. A partir de una señal, cada programa intentaba forzar al otro a efectuar una instrucción inválida, ganando el primero que lo consiguiera.
Al término del juego, se borraba de la memoria todo rastro de la batalla, ya que estas actividades eran severamente sancionadas por los jefes por ser un gran riesgo dejar un organismo suelto que pudiera acabar con las aplicaciones del día siguiente. De esta manera surgieron los programas destinados a dañar en la escena de la computación.
Uno de los primeros registros que se tienen de una infección data del año 1987, cuando en la Universidad estadounidense de Delaware notaron que tenían un virus porque comenzaron a ver © Brain como etiqueta de los disquetes.
La causa de ello era Brain Computer Services, una casa de computación paquistaní que, desde 1986, vendía copias ilegales de software comercial infectadas para, según los responsables de la firma, dar una lección a los piratas.
Ellos habían notado que el sector de booteo de un disquete contenía código ejecutable, y que dicho código se ejecutaba cada vez que la máquina se inicializaba desde un disquete.
Lograron reemplazar ese código por su propio programa, residente, y que este instalara una réplica de sí mismo en cada disquete que fuera utilizado de ahí en más.
También en 1986, un programador llamado Ralf Burger se dio cuenta de que un archivo podía ser creado para copiarse a sí mismo, adosando una copia de él a otros archivos. Escribió una demostración de este efecto a la que llamó VIRDEM, que podía infectar cualquier archivo con extensión .COM.
Esto atrajo tanto interés que se le pidió que escribiera un libro, pero, puesto que él desconocía lo que estaba ocurriendo en Paquistán, no mencionó a los virus de sector de arranque boot sector. Para ese entonces, ya se había empezado a diseminar el virus Vienna.
Actualmente, los virus son producidos en cantidades extraordinarias por muchísima gente alrededor del planeta. Algunos de ellos dicen hacerlo por divertimento, otros quizás para probar sus habilidades. De cualquier manera, hasta se ha llegado a notar un cierto grado de competitividad entre los autores de estos programas.
Con relación a la motivación de los autores de virus para llevar a cabo su obra, existe en Internet un documento escrito por un escritor freelance Markus Salo, en el cual, entre otros, se exponen los siguientes conceptos:
Algunos de los programadores de virus, especialmente los mejores, sostienen que su interés por el tema es puramente científico, que desean averiguar todo lo que se pueda sobre virus y sus usos.
A diferencia de las compañías de software, que son organizaciones relativamente aisladas unas de otras, todas tienen secretos que no querrían que sus competidores averiguaran y cuentan entre sus filas con mayoría de estudiantes graduados, las agrupaciones de programadores de virus están abiertas a cualquiera que se interese en ellas, ofrecen consejos, camaradería y pocas limitaciones. Además, son libres de seguir cualquier objetivo que les parezca, sin temer por la pérdida de respaldo económico.
El hecho de escribir programas vírales da al programador cierta fuerza coercitiva, lo pone fuera de las reglas convencionales de comportamiento. Este factor es uno de los más importantes, pues el sentimiento de pertenencia es algo necesario para todo ser humano, y es probado que dicho sentimiento pareciera verse reforzado en situaciones marginales.
Por otro lado, ciertos programadores parecen intentar legalizar sus actos poniendo sus creaciones al alcance de mucha gente, (vía Internet, BBS especializadas, etc.) haciendo la salvedad de que el material es peligroso, por lo cual el usuario debería tomar las precauciones del caso.
Existen programadores, de los cuales, generalmente, provienen los virus más destructivos, que alegan que sus programas son creados para hacer notoria la falta de protección de que sufren la mayoría de los usuarios de computadoras.
La gran mayoría de estos individuos son del mismo tipo de gente que es reclutada por los grupos terroristas: hombres, adolescentes, inteligentes.
En definitiva, sea cual fuere el motivo por el cual se siguen produciendo virus, se debe destacar que su existencia no ha sido sólo perjuicios: gracias a ellos, mucha gente ha tomado conciencia de qué es lo que tiene y cómo protegerlo.
¿Qué es un virus?
Es un pequeño programa escrito intencionalmente para instalarse en la computadora de un usuario sin el conocimiento o el permiso de este. Decimos que es un programa parásito porque el programa ataca a los archivos o sector es de booteo y se replica a sí mismo para continuar su esparcimiento. Algunos se limitan solamente a replicarse, mientras que otros pueden producir serios daños que pueden afectar a los sistemas. Se ha llegado a un punto tal, que un nuevo virus llamado W95/CIH-10xx. o también como CIH.Spacefiller (puede aparecer el 26 de cada mes, especialmente 26 de Junio y 26 de Abril) ataca al BIOS de la PC huésped y cambiar su configuración de tal forma que se requiere cambiarlo. Nunca se puede asumir que un virus es inofensivo y dejarlo flotando en el sistema. Existen ciertas analogías entre los virus biológicos y los informáticos: mientras los primeros son agentes externos que invaden células para alterar su información genética y reproducirse, los segundos son programas-rutinas, en un sentido más estricto, capaces de infectar archivos de computadoras, reproduciéndose una y otra vez cuando se accede a dichos archivos, dañando la información existente en la memoria o alguno de los dispositivos de almacenamiento del ordenador. Tienen diferentes finalidades: Algunos sólo infectan, otros alteran datos, otros los eliminan, algunos sólo muestran mensajes. Pero el fin último de todos ellos es el mismo: PROPAGARSE.
Es importante destacar que el potencial de daño de un virus informático no depende de su complejidad sino del entorno donde actúa.
La definición más simple y completa que hay de los virus corresponde al modelo D. A. S., y se fundamenta en tres características, que se refuerzan y dependen mutuamente. Según ella, un virus es un programa que cumple las siguientes pautas:
• Es dañino
• Es autorreproductor
• Es subrepticio
El hecho de que la definición imponga que los virus son programas no admite ningún tipo de observación; está extremadamente claro que son programas, realizados por personas. Además de ser programas tienen el fin ineludible de causar daño en cualquiera de sus formas.
Asimismo, se pueden distinguir tres módulos principales de un virus informático:
• Módulo de Reproducción
• Módulo de Ataque
• Módulo de Defensa
El módulo de reproducción se encarga de manejar las rutinas de parasitación de entidades ejecutables (o archivos de datos, en el caso de los virus macro) a fin de que el virus pueda ejecutarse subrepticiamente. Pudiendo, de esta manera, tomar control del sistema e infectar otras entidades permitiendo se traslade de una computadora a otra a través de algunos de estos archivos. El módulo de ataque es optativo. En caso de estar presente es el encargado de manejar las rutinas de daño adicional del virus. Por ejemplo, el conocido virus Michelangelo, además de producir los daños que se detallarán más adelante, tiene un módulo de ataque que se activa cuando el reloj de la computadora indica 6 de Marzo. En estas condiciones la rutina actúa sobre la información del disco rígido volviéndola inutilizable.
El módulo de defensa tiene, obviamente, la misión de proteger al virus y, como el de ataque, puede estar o no presente en la estructura. Sus rutinas apuntan a evitar todo aquello que provoque la remoción del virus y retardar, en todo lo posible, su detección.
Tipos de virus.
Los virus se clasifican por el modo en que actúan infectando la computadora:
Programa: Infectan archivos ejecutables tales como .com / .exe / .ovl / .drv / .sys / .bin
Boot: Infectan los sectores Boot Record, Master Boot, FAT y la Tabla de Partición.
Múltiples: Infectan programas y sectores de "booteo".
Bios: Atacan al Bios para desde allí reescribir los discos duros.
Hoax: Se distribuyen por e-mail y la única forma de eliminarlos es el uso del sentido común.
Al respecto, se trata de virus que no existe y que se utiliza para aterrar a los novatos especialmente en la Internet a pesar que los rumores lo muestran como algo muy serio y a veces la información es tomada por la prensa especializada.
Por lo general, como ya se expresó, la difusión se hace por cadenas de e-mail con terribles e inopinadas advertencias. En realidad el único virus es el mensaje. A continuación se dan una serie de supuestos "virus", por lo que es aconsejable ignorar los mensajes que aparecen y no ayudar a replicarlos continuando con la cadena:
• 3b Trojan (alias PKZIP Virus).
• AOL4Free Virus Hoax.
• Baby New Year Virus Hoax.
• BUDDYLST.ZIP
• BUDSAVER.EXE
• Budweiser Hoax
• Death69
• Deeyenda
• E-Flu
• FatCat Virus Hoax
• Free Money
• Get More Money Hoax
• Ghost
• Good Times
• Hacky Birthday Virus Hoax
• Hairy Palms Virus Hoax
• Irina
• Join the Crew
• Londhouse Virus Hoax
• Microsoft Virus Hoax
• Millenium Time Bomb
• Penpal Greetings
• Red Alert
• Returned or Unable to Deliver
• Teletubbies
• Time Bomb
• Very Cool
• Win a Holiday
• World Domination Hoax
• Yellow Teletubbies
• A.I.D.S. hoax email virus
• AltaVista virus scare
• AOL riot hoax email
• ASP virus hoax
• Back Orifice Trojan horse
• Bill Gates hoax
• Bloat, see MPEG virus hoax
• Budweiser frogs screen-saver scare
• Good Times hoax email virus
• Irina hoax virus
• Java virus scare
• Join the Crew hoax email virus
• 'Millennium' virus misunderstanding
• MPEG virus hoax
• 'My clock says 2097/2098' virus misunderstanding
• New virus debug device hoax email virus with attached Trojan horse
• Open: Very Cool, see A.I.D.S. hoax email virus
• Penpal Greetings, see Good Times hoax email virus
• PKZ300 Trojan virus scare
• Returned or Unable to Deliver hoax email virus
• Walt Disney greeting, see Bill Gates hoax
• Win a Holiday hoax email virus
• Windows '98 MS Warning.
Por último, cabe destacar que los HOAX están diseñados únicamente para asustar a los novatos (y a los que no lo son tanto). Otros como el mensaje del carcinoma cerebral de Jessica, Jessica Mydek , Anabelle , Ana , Billy y otros personajes imaginarios tampoco son reales como tampoco lo es la dirección [Solo usuarios Registrados Pueden Ver Enlaces. Click AQUI para REGISTRARTE es GRATIS...] , ya que fueron creados para producir congestionamiento en la Internet.
Características de los virus.
El virus es un pequeño software (cuanto más pequeño más fácil de esparcir y más difícil de detectar), que permanece inactivo hasta que un hecho externo hace que el programa sea ejecutado o el sector de "booteo" sea leído. De esa forma el programa del virus es activado y se carga en la memoria de la computadora, desde donde puede esperar un evento que dispare su sistema de destrucción o se replique a sí mismo.
Los más comunes son los residentes en la memoria que pueden replicarse fácilmente en los programas del sector de "booteo", menos comunes son los no-residentes que no permanecen en la memoria después que el programa-huesped es cerrado. Los virus pueden llegar a camuflarse y esconderse para evitar la detección y reparación. Como lo hacen:
El virus re-orienta la lectura del disco para evitar ser detectado.
Los datos sobre el tamaño del directorio infectado son modificados en la FAT, para evitar que se descubran bytes extra que aporta el virus.
Encriptamiento: el virus se encripta en símbolos sin sentido para no ser detectado, pero para destruir o replicarse DEBE desencriptarse siendo entonces detectable;
Polimorfismo: mutan cambiando segmentos del código para parecer distintos en cada nueva generación, lo que los hace muy difíciles de detectar y destruir.
Gatillables: se relaciona con un evento que puede ser el cambio de fecha, una determinada combinación de tecleo; un macro o la apertura de un programa asociado al virus (Troyanos).
Los virus se transportan a través de programas tomados de BBS (Bulletin Boards) o copias de software no original, infectadas a propósito o accidentalmente. También cualquier archivo que contenga ejecutables o macros puede ser portador de un virus: Descaregas de programas de lugares inseguros; e-mail con attachments, archivos de MS-Word y MS-Excel con macros. Inclusive ya existen virus que se distribuyen con MS-Power Point. Los archivos de datos, texto o html NO PUEDEN contener virus, aunque pueden ser dañados por estos.
Los virus de sectores de booteo se instalan en esos sectores y desde allí van saltando a los sectores equivalentes de cada uno de los drivers de la PC. Pueden dañar el sector o sobrescribirlo. Lamentablemente obligan al formateo del disco del drive infectado. Incluyendo discos de 3.5" y todos los tipos de Zip de Iomega, Sony y 3M. (No crean vamos a caer en el chiste fácil de decir que el más extendido de los virus de este tipo se llama MS Windows 98).
En cambio los virus de programa, se manifiestan cuando la aplicación infectada es ejecutada, el virus se activa y se carga en la memoria, infectando a cualquier programa que se ejecute a continuación. Puede solaparse infecciones de diversos virus que pueden ser destructivos o permanecer inactivos por largos periodos de tiempo.
Daños de los virus.
Definiremos daño como acción una indeseada, y los clasificaremos según la cantidad de tiempo necesaria para reparar dichos daños. Existen seis categorías de daños hechos por los virus, de acuerdo a la gravedad.
Daños triviales. Sirva como ejemplo la forma de trabajo del virus FORM (el más común): En el día 18 de cada mes cualquier tecla que presionemos hace sonar el beep. Deshacerse del virus implica, generalmente, segundos o minutos.
Daños menores.
Un buen ejemplo de este tipo de daño es el JERUSALEM. Este virus borra, los viernes 13, todos los programas que uno trate de usar después de que el virus haya infectado la memoria residente. En el peor de los casos, tendremos que reinstalar los programas perdidos. Esto nos llevará alrededor de 30 minutos.
Daños moderados.
Cuando un virus formatea el disco rígido, mezcla los componentes de la FAT (File Allocation Table, Tabla de Ubicación de Archivos), o sobrescribe el disco rígido. En este caso, sabremos inmediatamente qué es lo que está sucediendo, y podremos reinstalar el sistema operativo y utilizar el último backup. Esto quizás nos lleve una hora.
Daños mayores.
Algunos virus, dada su lenta velocidad de infección y su alta capacidad de pasar desapercibidos, pueden lograr que ni aún restaurando un backup volvamos al último estado de los datos. Un ejemplo de esto es el virus DARK AVENGER, que infecta archivos y acumula la cantidad de infecciones que realizó. Cuando este contador llega a 16, elige un sector del disco al azar y en él escribe la frase: Eddie lives somewhere in time (Eddie vive en algún lugar del tiempo).
Esto puede haber estado pasando por un largo tiempo sin que lo notemos, pero el día en que detectemos la presencia del virus y queramos restaurar el último backup notaremos que también él contiene sectores con la frase, y también los backups anteriores a ese. Puede que lleguemos a encontrar un backup limpio, pero será tan viejo que muy probablemente hayamos perdido una gran cantidad de archivos que fueron creados con posterioridad a ese backup.
Daños severos.
Los daños severos son hechos cuando un virus realiza cambios mínimos, graduales y progresivos. No sabemos cuándo los datos son correctos o han cambiado, pues no hay pistas obvias como en el caso del DARK AVENGER (es decir, no podemos buscar la frase Eddie lives...).
Daños limitados.
Algunos programas como CHEEBA, VACSINA.44.LOGIN y GP1 entre otros, obtienen la clave del administrador del sistema y la pasan a un tercero. Cabe aclarar que estos no son virus sino troyanos. En el caso de CHEEBA, crea un nuevo usuario con los privilegios máximos, fijando el nombre del usuario y la clave. El daño es entonces realizado por la tercera persona, quien ingresará al sistema y haría lo que quisiera.
SÍNTOMAS TÍPICOS DE UNA INFECCIÓN.
• El sistema operativo o un programa toma mucho tiempo en cargar sin razón aparente.
• El tamaño del programa cambia sin razón aparente.
• El disco duro se queda sin espacio o reporta falta de espacio sin que esto sea necesariamente así.
• Si se corre el CHKDSK no muestra "655360 bytes available".
• En Windows aparece "32 bit error".
• La luz del disco duro en la CPU continua parpadeando aunque no se este trabajando ni haya protectores de pantalla activados. (Se debe tomar este síntoma con mucho cuidado, porque no siempre es así).
• No se puede "bootear" desde el Drive A, ni siquiera con los discos de rescate. Aparecen archivos de la nada o con nombres y extensiones extrañas.
• Suena "clicks" en el teclado (este sonido es particularmente aterrador para quien no esta advertido).
• Los caracteres de texto se caen literalmente a la parte inferior de la pantalla (especialmente en DOS).
• En la pantalla del monitor pueden aparecen mensajes absurdos tales como "Tengo hambre. Introduce un Big Mac en el Drive A".
• En el monitor aparece una pantalla con un fondo de cielo celeste, unas nubes blancas difuminadas, una ventana de vidrios repartidos de colores y una leyenda en negro que dice Windows '98 (No puedo evitarlo, es mas fuerte que yo...!!).
Una infección se soluciona con las llamadas "vacunas" (que impiden la infección) o con los remedios que desactivan y eliminan, (o tratan de hacerlo) a los virus de los archivos infectados. Hay cierto tipo de virus que no son desactivables ni removibles, por lo que se debe destruir el archivo infectado.
VIRUS INFORMÁTICOS ARGENTINOS.
Al igual que todos los países informatizados, la Argentina cuenta con una producción local de virus informáticos. Si bien estos no son de los más complejos (en su mayoría, buenas copias y variaciones de virus conocidos) representan un problema, ya que muchos de ellos no están incluidos en las bases de datos de los programas antivirus.
Veamos algunos ejemplos:
PING PONG:
Este virus fue el primero en hacer explosión en Argentina. Fue descubierto en marzo de 1988 y en poco tiempo estuvo en nuestro país, en donde se convirtió rápidamente en epidemia.
La falta de conocimiento sobre los virus ayudó a que se diseminara ampliamente y fuera incontrolable en un principio. En centros universitarios como la Facultad de Ciencias Exactas de la UBA o la Facultad de Informática de la Universidad de Morón era difícil encontrar un disco sin infectar.
Ese mismo desconocimiento llevó a que pasara bastante tiempo hasta que se empezaran a tomar medidas. Sólo después de algunos meses, en revistas especializadas en informática, empezaron a publicarse formas de desinfectar los discos, y como consecuencia de ello se aplicaron políticas de seguridad en las universidades.
Lo positivo de esto fue que la gente comenzara a conocer el D.O.S. más profundamente, por ejemplo el boot sector: qué es y para qué sirve, ya que las máquinas eran utilizadas pero pocos sabían cómo funcionaban realmente.
Como tenía un síntoma muy evidente (una pelotita que rebotaba), se pensó que todos los virus debían ser visibles, pero los siguientes fueron más subrepticios, y se limitaban a reproducirse o destruir sin avisar al usuario.
El Ping Pong original no podía infectar discos rígidos, pero la versión que se popularizó en el país fue la B, que sí podía hacerlo. Se creó una variante en Argentina, que probablemente fue la primera variante de virus originada en el país, el Ping Pong C, que no mostraba la pelotita en la pantalla. Este virus está extinto en este momento ya que sólo podía funcionar en máquinas con procesador 8088 ó 8086, porque ejecutaba una instrucción no documentada en estos e incorrecta en los modelos siguientes.
AVISPA: Escrito en Noviembre de 1993 que en muy poco tiempo se convirtió en epidemia. Infecta archivos .EXE
Al ejecutarse, si no se encontraba ya residente en memoria, intenta infectar los archivos XCOPY, MEM, SETVER y EMM386 para maximizar sus posibilidades de reproducción, ya que estos archivos son de los más frecuentemente utilizados.
Este virus está encriptado siempre con una clave distinta (polimórfico), para dificultar su detección por medio de antivirus heurísticos.
MENEM TOCOTO:
Esta adaptación del virus Michelangelo apareció en 1994. En los disquetes se aloja en el boot sector, y en los discos rígidos en la tabla de particiones. Es extremadamente sencillo y, por ende, fácil de detectar.
------------------------------------------------------------------------------------
Seguridad en Windows
CAMOUFLAGE II: Aparecido por primera vez en 1993. Infecta el boot sector de los disquetes ubicados en la unidad A y la tabla de partición de los discos rígidos. Es bastante simple y fácil de ser detectado.
LEPROSO: Creado en 1993, en Rosario, provincia de Santa Fé. Se activa el día 12 de Enero (cumpleaños del autor), y hace aparecer un mensaje que dice: Felicitaciones, su máquina está infectada por el virus leproso creado por J. P.. Hoy es mi cumpleaños y lo voy a festejar formateando su rígido. Bye... (Vamos Newell's que con Diego somos campeones).
PINDONGA: Virus polimórfico residente en memoria que se activa los días 25 de febrero, 21 de marzo, 27 de agosto y 16 de septiembre, cuando ataca, borra toda la información contenida en el disco rígido.
TEDY: Es el primer virus argentino interactivo. Apareció hace poco tiempo. Infecta archivos con extensión .EXE, y se caracteriza por hacer una serie de preguntas al usuario. Una vez activado, una pantalla muestra: ¡TEDY, el primer virus interactivo de la computación!
------------------------------------------------------------------------------------
¿QUÉ NO ES UN VIRUS?
Existen algunos programas que, sin llegar a ser virus, ocasionan problemas al usuario.
Estos no-virus carecen de por lo menos una de las tres características identificatorias de un virus (dañino, autorreproductor y subrepticio).
Veamos un ejemplo de estos no - virus: Hace algunos años, la red de I. B. M., encargada de conectar más de 130 países, fue virtualmente paralizada por haberse saturado con un correo electrónico que contenía un mensaje de salutación navideña que, una vez leído por el destinatario, se enviaba a sí mismo a cada integrante de las listas de distribución de correo del usuario. Al cabo de un tiempo, fueron tantos los mensajes que esperaban ser leídos por sus destinatarios que el tráfico se volvió demasiado alto, lo que ocasionó la caída de la red.
Asimismo, es necesario aclarar que no todo lo que altere el normal funcionamiento de una computadora es necesariamente un virus.
Por ello, daré algunas de las pautas principales para diferenciar entre qué debe preocuparnos y qué no:
BUGS (Errores en programas).
Los bugs no son virus, y los virus no son bugs. Todos usamos programas que tienen graves errores (bugs). Si se trabaja por un tiempo largo con un archivo muy extenso, eventualmente algo puede comenzar a ir mal dentro del programa, y este a negarse a grabar el archivo en el disco. Se pierde entonces todo lo hecho desde la última grabación. Esto, en muchos casos, se debe a ERRORES del programa. Todos los programas lo suficientemente complejos tienen bugs.
Falsa alarma.
Algunas veces tenemos problemas con nuestro hardware o software y, luego de una serie de verificaciones, llegamos a la conclusión de que se trata de un virus, pero nos encontramos con una falsa alarma luego de correr nuestro programa antivirus.
Desafortunadamente no hay una regla estricta por la cual guiarse, pero contestarse las siguientes preguntas puede ser de ayuda:
¿Es sólo un archivo el que reporta la falsa alarma? o quizás varios, pero copias del mismo.
¿Solamente un producto antivirus reporta la alarma? Otros productos dicen que el sistema está limpio.
Se indica una falsa alarma después de correr múltiples productos, pero no después de bootear, sin ejecutar ningún programa.
Si al menos una de nuestras respuestas fue afirmativa, es muy factible que efectivamente se trate de una falsa alarma.
Programas corruptos.
A veces algunos archivos son accidentalmente dañados, quizás por problemas de hardware. Esto quiere decir que no siempre que encontremos daños en archivos deberemos estar seguros de estar infectados.
¿Que es un antivirus?
Es importante aclarar que todo antivirus es un programa y que, como todo programa, sólo funcionará correctamente si es adecuado y está bien configurado. Además, un antivirus es una No para toda enfermedad existe cura, como tampoco existe una forma de erradicar todos y cada uno de los virus existentes.
herramienta para el usuario y no sólo no será eficaz para el 100% de los casos, sino que nunca será una protección total ni definitiva.
La función de un programa antivirus es detectar, de alguna manera, la presencia o el accionar de un virus informático en una computadora. Este es el aspecto más importante de un antivirus, independientemente de las prestaciones adicionales que pueda ofrecer, puesto que el hecho de detectar la posible presencia de un virus informático, detener el trabajo y tomar las medidas necesarias, es suficiente para acotar un buen porcentaje de los daños posibles. Adicionalmente, un antivirus puede dar la opción de erradicar un virus informático de una entidad infectada.
El modelo más primario de las funciones de un programa antivirus es la detección de su presencia y, en lo posible, su identificación. La primera técnica que se popularizó para la detección de virus informáticos, y que todavía se sigue utilizando (aunque cada vez con menos eficiencia), es la técnica de scanning. Esta técnica consiste en revisar el código de todos los archivos contenidos en la unidad de almacenamiento -fundamentalmente los archivos ejecutables- en busca de pequeñas porciones de código que puedan pertenecer a un virus informático. Este procedimiento, denominado escaneo, se realiza a partir de una base de datos que contiene trozos de código representativos de cada virus conocido, agregando el empleo de determinados algoritmos que agilizan los procesos de búsqueda.
La técnica de scanning fue bastante eficaz en los primeros tiempos de los virus informáticos, cuando había pocos y su producción era pequeña. Este relativamente pequeño volumen de virus informáticos permitía que los desarrolladores de antivirus escaneadores tuvieran tiempo de analizar el virus, extraer el pequeño trozo de código que lo iba a identificar y agregarlo a la base de datos del programa para lanzar una nueva versión. Sin embargo, la obsolescencia de este mecanismo de identificación como una solución antivirus completa se encontró en su mismo modelo.
El primer punto grave de este sistema radica en que siempre brinda una solución a posteriori : es necesario que un virus informático alcance un grado de dispersión considerable para que sea enviado (por usuarios capacitados, especialistas o distribuidores del producto) a los desarrolladores de antivirus. Estos lo analizarán, extraerán el trozo de código que lo identificará, y lo incluirán en la próxima versión de su programa antivirus. Este proceso puede demorar meses a partir del momento en que el virus comienza a tener una dispersión considerable, lapso en el cual puede causar graves daños sin que pueda ser identificado.
Además, este modelo consiste en una sucesión infinita de soluciones parciales y momentáneas (cuya sumatoria jamás constituirá una solución definitiva), que deben actualizarse periódicamente debido a la aparición de nuevos virus.
En síntesis, la técnica de scanning es altamente ineficiente, pero se sigue utilizando debido a que permite identificar rápidamente la presencia de los virus más conocidos y, como son estos los de mayor dispersión, permite una importante gama de posibilidades. Un ejemplo típico de un antivirus de esta clase es el Viruscan de McAfee, que se verá más adelante.
En virtud del pronto agotamiento técnico de la técnica de scanning, los desarrolladores de programas antivirus han dotado a sus creaciones de métodos para búsquedas de virus informáticos (y de sus actividades), que no identifican específicamente al virus sino a algunas de sus características generales y comportamientos universalizados.
Este tipo de método rastrea rutinas de alteración de información que no puedan ser controladas por el usuario, modificación de sectores críticos de las unidades de almacenamiento (master boot record, boot sector, FAT, entre otras), etc.
Un ejemplo de este tipo de métodos es el que utiliza algoritmos heurísticos.
De hecho, esta naturaleza de procedimientos busca, de manera bastante eficiente, códigos de instrucciones potencialmente pertenecientes a un virus informático. Resulta eficaz para la detección de virus conocidos y es una de las soluciones utilizadas por los antivirus para la detección de nuevos virus. El inconveniente que presenta este tipo de algoritmo radica en que puede llegar a sospecharse de muchísimas cosas que no son virus. Esto hace necesario que el usuario que lo utiliza conozca un poco acerca de la estructura del sistema operativo, a fin de poseer herramientas que le faciliten una discriminación de cualquier falsa alarma generada por un método heurístico.
Algunos de los antivirus de esta clase son F-Prot, Norton Anti Virus y Dr. Solomon's Toolkit.
Ahora bien, otra forma de detectar la presencia de un virus informático en un sistema consiste en monitorear las actividades de la PC señalando si algún proceso intenta modificar los sectores críticos de los dispositivos de almacenamiento o los archivos ejecutables. Los programas que realizan esta tarea se denominan chequeadores de integridad.
Sobre la base de estas consideraciones, podemos consignar que un buen sistema antivirus debe estar compuesto por un programa detector de virus -que siempre esté residente en memoria- y un programa que verifique la integridad de los sectores críticos del disco rígido y sus archivos ejecutables. Existen productos antivirus que cubren los dos aspectos, o bien pueden combinarse productos diferentes configurados de forma que no se produzcan conflictos entre ellos.
Modelo antivirus:
La estructura de un programa antivirus, está compuesta por dos módulos principales: el primero denominado de control y el segundo denominado de respuesta. A su vez, cada uno de ellos se divide en varias partes:
Módulo de control: posee la técnica verificación de integridad que posibilita el registro de cambios en los archivos ejecutables y las zonas críticas de un disco rígido. Se trata, en definitiva, de una herramienta preventiva para mantener y controlar los componentes de información de un disco rígido que no son modificados a menos que el usuario lo requiera.
Otra opción dentro de este módulo es la identificación de virus, que incluye diversas técnicas para la detección de virus informáticos. Las formas más comunes de detección son el scanning y los algoritmos, como por ejemplo, los heurísticos.
Asimismo, la identificación de código dañino es otra de las herramientas de detección que, en este caso, busca instrucciones peligrosas incluidas en programas, para la integridad de la información del disco rígido.
Esto implica descompilar (o desensamblar) en forma automática los archivos almacenados y ubicar sentencias o grupos de instrucciones peligrosas.
Finalmente, el módulo de control también posee una administración de recursos para efectuar un monitoreo de las rutinas a través de las cuales se accede al hardware de la computadora (acceso a disco, etc.). De esta manera puede limitarse la acción de un programa restringiéndole el uso de estos recursos, como por ejemplo impedir el acceso a la escritura de zonas críticas del disco o evitar que se ejecuten funciones de formato del mismo.
Módulo de respuesta: la función alarma se encuentra incluida en todos los programas antivirus y consiste en detener la acción del sistema ante la sospecha de la presencia de un virus informático, e informar la situación a través de un aviso en pantalla.
Algunos programas antivirus ofrecen, una vez detectado un virus informático, la posibilidad de erradicarlo. Por consiguiente, la función reparar se utiliza como una solución momentánea para mantener la operatividad del sistema hasta que pueda instrumentarse una solución adecuada. Por otra parte, existen dos técnicas para evitar el contagio de entidades ejecutables: evitar que se contagie todo el programa o prevenir que la infección se expanda más allá de un ámbito fijo.
Aunque la primera opción es la más adecuada, plantea grandes problemas de implementación.
Detección y prevención.
Debido a que los virus informáticos son cada vez más sofisticados, hoy en día es difícil sospechar su presencia a través de síntomas como la pérdida de performance. De todas maneras la siguiente es una lista de síntomas que pueden observarse en una computadora de la que se sospeche esté infectada por alguno de los virus más comunes:
Operaciones de procesamiento más lentas.
Los programas tardan más tiempo en cargarse.
Los programas comienzan a acceder por momentos a las disqueteras y/o al disco rígido.
Disminución no justificada del espacio disponible en el disco rígido y de la memoria RAM disponible, en forma constante o repentina.
Aparición de programas residentes en memoria desconocidos.
La primera medida de prevención a ser tenida en cuenta es, como se dijo anteriormente, contar con un sistema antivirus y utilizarlo correctamente. Por lo tanto, la única forma de que se constituya un bloqueo eficaz para un virus es que se utilice con determinadas normas y procedimientos. Estas normas tienden a controlar la entrada de archivos al disco rígido de la computadora, lo cual se logra revisando con el antivirus todos los disquetes o medios de almacenamiento en general y, por supuesto, disminuyendo al mínimo posible todo tipo de tráfico.
Además de utilizar un sistema antivirus y controlar el tráfico de archivos al disco rígido, una forma bastante eficaz de proteger losarchivos ejecutables es utilizar un programa chequeador de integridad que verifique que estos archivos no sean modificados, es decir, que mantengan su estructura. De esta manera, antes que puedan ser parasitados por un virus convencional, se impediría su accionar.
Para prevenir la infección con un virus de sector de arranque, lo más indicado es no dejar disquetes olvidados en la disquetera de arranque y contar con un antivirus. Pero, además, puede aprovecharse una característica que incorpora el setup de las computadoras más modernas: variar la secuencia de arranque de la PC a primero disco rígido y luego disquetera (C, A). De esta manera, la computadora no intentará leer la disquetera en el arranque aunque tenga cargado un disquete.
Algunos distribuidores o representantes de programas antivirus envían muestras de los nuevos virus argentinos a los desarrolladores del producto para que los estudien o incluyan en sus nuevas versiones o upgrades, con la demora que esto implica.
En consecuencia, la detección alternativa a la de scanning y las de chequeo de actividad e integridad resultan importantes, ya que pueden detectar la presencia de un virus informático sin la necesidad de identificarlo. Y esta es la única forma disponible para el usuario de detectar virus nuevos, sean nacionales o extranjeros.
De todas maneras, existe una forma de actualizar la técnica de scanning. La misma consiste en incorporarle al antivirus un archivo conteniendo cadenas de caracteres ASCII que sean trozos de código (strings) significativos del sector vital de cada nuevo virus que todavía no esté incorporado en la base de datos del programa.
De todas formas, esta solución será parcial: la nueva cadena introducida sólo identificará al virus, pero no será capaz de erradicarlo.
Es muy importante que los strings que se vayan a incorporar al antivirus provengan de una fuente confiable ya que, de lo contrario, pueden producirse falsas alarmas o ser ineficaces.
Algunos de los antivirus que soportan esta cualidad de agregar strings son Viruscan, F-Prot y Thunderbyte.
La NCSA (National Computer Security Association, Asociación Nacional de Seguridad de Computadoras) es la encargada de certificar productos antivirus.
Para obtener dicha certificación los productos deben pasar una serie de rigurosas pruebas diseñadas para asegurar la adecuada protección del usuario.
Antiguamente el esquema de certificación requería que se detectara (incluyendo el número de versión) el 90 % de la librería de virus del NCSA, y fue diseñado para asegurar óptimas capacidades de detección. Pero esta metodología no era completamente eficiente.
Actualmente, el esquema de certificación enfoca la amenaza a las computadoras empresariales. Para ser certificado, el producto debe pasar las siguientes pruebas:
Debe detectar el 100% de los virus encontrados comúnmente. La lista de virus comunes es actualizada periódicamente, a medida que nuevos virus son descubiertos.
Deben detectar, como mínimo, el 90% de la librería de virus del NCSA (más de 6.000 virus). Estas pruebas son realizadas con el producto ejecutándose con su configuración por defecto.
Una vez que un producto ha sido certificado, la NCSA tratará de recertificar el producto un mínimo de cuatro veces. Cada intento es realizado sin previo aviso al desarrollador del programa. Esta es una buena manera de asegurar que el producto satisface el criterio de certificación.
Si un producto no pasa la primera o segunda prueba, su distribuidor tendrá siete días para proveer de la corrección. Si este límite de tiempo es excedido, el producto será eliminado de la lista de productos certificados.
Una vez que se ha retirado la certificación a un producto la única forma de recuperarla es que el distribuidor envíe una nueva versión completa y certificable (no se aceptará sólo una reparación de la falla.
Acerca de la lista de virus de la NCSA, aclaremos que ningún desarrollador de antivirus puede obtener una copia. Cuando un antivirus falla en la detección de algún virus incluido en la lista, una cadena identificatoria del virus le es enviada al productor del antivirus para su inclusión en futuras versiones.
En el caso de los virus polimórficos, se incluyen múltiples copias del virus para asegurar que el producto testeado lo detecta perfectamente. Para pasar esta prueba el antivirus debe detectar cada mutación del virus.
La A. V. P. D. (Antivirus Product Developers, Desarrolladores de Productos Antivirus) es una asociación formada por las principales empresas informáticas del sector, entre las que se cuentan:
• Cheyenne Software
• I. B. M.
• Intel
• McAfee Associates
• ON Tecnology
• Stiller Research Inc.
• S&S Internacional
• Symantec Corp.
• ThunderByte
Algunos antivirus.
DR. SOLOMON'S ANTIVIRUS TOOLKIT.
Certificado por la NCSA. Detecta más de 6.500 virus gracias a su propio lenguaje de detección llamado VirTran, con una velocidad de detección entre 3 y 5 veces mayor que los antivirus tradicionales.
Uno de los últimos desarrollos de S&S es la tecnología G. D. E. (Generic Decription Engine, Motor de Desencriptación Genérica) que permite detectar virus polimórficos sin importar el algoritmo de encriptación utilizado.
Permite detectar modificaciones producidas tanto en archivos como en la tabla de partición del disco rígido. Para ello utiliza Checksumms Criptográficos lo cual, sumado a una clave personal de cada usuario, hace casi imposible que el virus pueda descubrir la clave de encriptación.
Elimina virus en archivos en forma sencilla y efectiva con pocas falsas alarmas, y en sectores de buteo y tablas de partición la protección es genérica, es decir, independiente del virus encontrado.
Otras características que presenta este antivirus, son:
• Ocupa 9K de memoria extendida o expandida.
• Documentación amplia y detallada en español y una enciclopedia sobre los virus más importantes.
• Actualizaciones mensuales o trimestrales de software y manuales.
• Trabaja como residente bajo Windows.
• H. A. (Advanced Heuristic Analysis, Análisis Heurístico Avanzado).
NORTON ANTIVIRUS.
Certificado por la NCSA. Posee una protección automática en segundo plano. Detiene prácticamente todos los virus conocidos y desconocidos (a través de una tecnología propia denominada NOVI, que implica control de las actividades típicas de un virus, protegiendo la integridad del sistema), antes de que causen algún daño o pérdida de información, con una amplia línea de defensa, que combina búsqueda, detección de virus e inoculación (se denomina 'inoculación' al método por el cual este antivirus toma las características principales de los sectores de booteo y archivos para luego chequear su integridad. Cada vez que se detecta un cambio en
dichas áreas, NAV avisa al usuario y provee las opciones de Reparar - Volver a usar la imagen guardada - Continuar - No realiza cambios - Inocular - Actualizar la imagen.
Utiliza diagnósticos propios para prevenir infecciones de sus propios archivos y de archivos comprimidos.
El escaneo puede ser lanzado manualmente o automáticamente a través de la planificación de fecha y hora. También permite reparar los archivos infectados por virus desconocidos. Incluye información sobre muchos de los virus que detecta y permite establecer una contraseña para aumentar así la seguridad.
La lista de virus conocidos puede ser actualizada periódicamente (sin cargo) a través de servicios en línea como Internet, América On Line, Compuserve, The Microsoft Network o el BBS propio de Symantec, entre otros.
VIRUSSCAN.
Este antivirus de McAfee Associates es uno de los más famosos. Trabaja por el sistema de scanning descrito anteriormente, y es el mejor en su estilo.
Para escanear, hace uso de dos técnicas propias: CMS (Code Matrix Scanning, Escaneo de Matriz de Código) y CTS (Code Trace Scanning, Escaneo de Seguimiento de Código).
Una de las principales ventajas de este antivirus es que la actualización de los archivos de bases de datos de strings es muy fácil de realizar, lo cual, sumado a su condición de programa shareware, lo pone al alcance de cualquier usuario. Es bastante flexible en cuanto a la configuración de cómo detectar, reportar y eliminar virus.
CONCLUSIONES. En razón de lo expresado pueden extraerse algunos conceptos que pueden considerarse necesarios para tener en cuenta en materia de virus informáticos:
No todo lo que afecte el normal funcionamiento de una computadora es un virus.
TODO virus es un programa y, como tal, debe ser ejecutado para activarse.
Es imprescindible contar con herramientas de detección y desinfección.
NINGÚN sistema de seguridad es 100% seguro. Por eso todo usuario de computadoras debería tratar de implementar estrategias de seguridad antivirus, no sólo para proteger su propia información sino para no convertirse en un agente de dispersión de algo que puede producir daños graves e indiscriminados.
Para implementar tales estrategias deberían tenerse a mano los siguientes elementos:
UN DISCO DE SISTEMA PROTEGIDO CONTRA ESCRITURA Y LIBRE DE VIRUS: Un disco que contenga el sistema operativo ejecutable (es decir, que la máquina pueda ser arrancada desde este disco) con protección contra escritura y que contenga, por lo menos, los siguientes comandos: FORMAT, FDISK, MEM y CHKDSK (o SCANDISK en versiones recientes del MS-DOS).
POR LO MENOS UN PROGRAMA ANTIVIRUS ACTUALIZADO: Se puede considerar actualizado a un antivirus que no tiene más de tres meses desde su fecha de creación (o de actualización del archivo de strings). Es muy recomendable tener por lo menos dos antivirus.
UNA FUENTE DE INFORMACIÓN SOBRE VIRUS ESPECÍFICOS: Es decir, algún programa, libro o archivo de texto que contenga la descripción, síntomas y características de por lo menos los cien virus más comunes.
UN PROGRAMA DE RESPALDO DE ÁREAS CRÍTICAS: Algún programa que obtenga respaldo (backup) de los sectores de arranque de los disquetes y sectores de arranque maestro (MBR, Master Boot Record) de los discos rígidos. Muchos programas antivirus incluyen funciones de este tipo.
LISTA DE LUGARES DÓNDE ACUDIR: Una buena precaución es no esperar a necesitar ayuda para comenzar a buscar quién puede ofrecerla, sino ir elaborando una agenda de direcciones, teléfonos y direcciones electrónicas de las personas y lugares que puedan servirnos más adelante. Si se cuenta con un antivirus comercial o registrado, deberán tenerse siempre a mano los teléfonos de soporte técnico.
UN SISTEMA DE PROTECCIÓN RESIDENTE: Muchos antivirus incluyen programas residentes que previenen (en cierta medida), la intrusión de virus y programas desconocidos a la computadora.
TENER RESPALDOS: Se deben tener respaldados en disco los archivos de datos más importantes, además, se recomienda respaldar todos los archivos ejecutables. Para archivos muy importantes, es bueno tener un respaldo doble, por si uno de los discos de respaldo se daña. Los respaldos también pueden hacerse en cinta (tape backup), aunque para el usuario normal es preferible hacerlo en discos, por el costo que las unidades de cinta representan.
REVISAR TODOS LOS DISCOS NUEVOS ANTES DE UTILIZARLOS: Cualquier disco que no haya sido previamente utilizado debe ser revisado, inclusive los programas originales (pocas veces sucede que se distribuyan discos de programas originales infectados, pero es factible) y los que se distribuyen junto con revistas de computación.
REVISAR TODOS LOS DISCOS QUE SE HAYAN PRESTADO: Cualquier disco que se haya prestado a algún amigo o compañero de trabajo, aún aquellos que sólo contengan archivos de datos, deben ser revisados antes de usarse nuevamente.
REVISAR TODOS LOS PROGRAMAS QUE SE OBTENGAN POR MÓDEM O REDES: Una de las grandes vías de contagio la constituyen Internet y los BBS, sistemas en los cuales es común la transferencia de archivos, pero no siempre se sabe desde dónde se está recibiendo información.
REVISAR PERIÓDICAMENTE LA COMPUTADORA: Se puede considerar que una buena frecuencia de análisis es, por lo menos, mensual.
Finalmente, es importante tener en cuenta estas sugerencias referentes al comportamiento a tener en cuenta frente a diferentes situaciones:
Cuando se va a revisar o desinfectar una computadora, es conveniente apagarla por más de 5 segundos y arrancar desde un disco con sistema, libre de virus y protegido contra escritura, para eliminar virus residentes en memoria. No se deberá ejecutar ningún programa del disco rígido, sino que el antivirus deberá estar en el disquete. De esta manera, existe la posibilidad de detectar virus stealth.
Cuando un sector de arranque (boot sector) o de arranque maestro (MBR) ha sido infectado, es preferible restaurar el sector desde algún respaldo, puesto que en ocasiones, los sectores de arranque genéricos utilizados por los antivirus no son perfectamente compatibles con el sistema
operativo instalado. Además, los virus no siempre dejan un respaldo del sector original donde el antivirus espera encontrarlo.
Antes de restaurar los respaldos es importante no olvidar apagar la computadora por más de cinco segundos y arrancar desde el disco libre de virus.
Cuando se encuentran archivos infectados, es preferible borrarlos y restaurarlos desde respaldos, aún cuando el programa antivirus que usemos pueda desinfectar los archivos. Esto es porque no existe seguridad sobre si el virus detectado es el mismo para el cual fueron diseñadas las rutinas de desinfección del antivirus, o es una mutación del original.
Cuando se va a formatear un disco rígido para eliminar algún virus, debe recordarse apagar la máquina por más de cinco segundos y posteriormente arrancar el sistema desde nuestro disquete limpio, donde también debe encontrarse el programa que se utilizará para dar formato al disco.
Cuando, por alguna causa, no se puede erradicar un virus, deberá buscarse la asesoría de un experto directamente pues, si se pidiera ayuda a cualquier aficionado, se correrá el riesgo de perder definitivamente datos si el procedimiento sugerido no es correcto.
Cuando se ha detectado y erradicado un virus es conveniente reportar la infección a algún experto, grupo de investigadores de virus, soporte técnico de programas antivirus, etc. Esto que en principio parecería innecesario, ayuda a mantener estadísticas, rastrear focos de infección e identificar nuevos virus, lo cual en definitiva, termina beneficiando al usuario mismo.
-------------------------------------------------------------------------
HIJACKTHIS, ELIMINAR SPYWARE, ADWARE, HIJACKERS, BHO...
Para defendernos de su existencia disponemos de excelentes soluciones gratuitas, caso de Spybot Search & Destroy y la protección preventiva de Spywareblaster (ambos programas muy recomendables). Sin embargo, no siempre es posible eliminarla a posteriori con las medidas habituales y para esos casos puede ser bastante útil emplear, a modo de bisturí, la herramienta que se comentará en este artículo: HijackThis (HJT) de Merijn.org.
Antes de continuar, mencionaré algunas denominaciones dentro de esta fauna (suele ser motivo de confusión), unas más genéricas, otras más específicas, pero bastante típicas en los tiempos actuales:
Spyware: son programas que, sin conocimiento por parte del usuario, corren en segundo plano recolectando información sobre éste y sus hábitos de navegación. Esta información puede abarcar desde el navegador que utilizamos, páginas visitadas, duración de nuestra estancia en ellas, nuestra IP... inclusive el SO y la CPU que utilizamos. Dicha información es enviada a los responsables del programa y con ello no sólamente atentan contra nuestra privacidad, también hacen uso del ancho de banda de nuestra conexión para llevar a cabo su propósito. En resumen:no existe conocimiento ni consentimiento por parte del usuario.
Adware: (ADvertising-Supported softWARE): muy similar a lo anterior. La diferencia estriba en que suele venir incluido en programas shareware y por tanto,al aceptar los términos legales durante la instalación de dichos programas, estamos consintiendo su ejecución en nuestros equipos y afirmando que estamos informados de ello (aunque en la práctica no sea así, ya que pocas personas prestan atención a los contratos licencias de uso mostradas durante la instalación). Un ejemplo de ésto pueden ser los banners publicitarios que aparecen en software diverso y que, en parte, suponen una forma de pago por emplear dichos programas de manera pseudogratuita.
Hijackers: se encargan de modificar las opciones de configuración del navegador (tradicionalmente, Internet Explorer de MS) para apuntar hacia otros sitios,cambiar nuestra página de inicio, la página de error, etc. Habitualmente capturan nuestras peticiones de navegación, de manera que ralentizan el comportamiento del navegador, aparte de obligar a éste a obedecer a sus propósitos. Para comprender mejor el término es bastante descriptivo mencionar que, en otros ámbitos, esta palabra es empleada para definir a personas que empleando la fuerza, secuestran/roban un vehículo (típicamente un avión) para obligar a cambiar su ruta y lugar de destino. Vendría a ser lo mismo, aplicado a los navegadores. Suelen valerse de ActiveX maliciosos o de agujeros de seguridad del navegador, por ello es conveniente protegernos de ellos con la protección preventiva de Spybot S&D y Spywareblaster.
BHO (Browser Helper Object): se podría dar una definición técnica al estilo de es un objeto COM dentro de una DLL que se carga automáticamente con el IE... si buscáis algo así, mejor os remito a la amplia exposición de un artículo de MS. Para el objetivo de este artículo, es mucho más asequible decir que es un pequeño programa que se ejecuta automáticamente cada vez que abrimos el navegador de Internet. Suele instalarse a la vez que instalamos otros programas (como se mencionaba en el caso del adware, por ejemplo) o también mediante ActiveX y sus funciones pueden ser muy diversas, desde capturar eventos, lanzar pop ups, ventanas de mensajes, cambiar nuestra página de inicio, páginas de búsqueda, banners adware, crear toolbars, monitorizar y reportar nuestros hábitos, etc. En ocasiones pueden provocar errores en nuestro sistema, conflictos con otras aplicaciones, disminuir el rendimiento del navegador... poco agradable, ¿verdad? Hay que reseñar que este tipo de aplicaciones no son frenadas por los cortafuegos ya que, por sus características, son vistas como si fueran el propio navegador (ver símil con dll/code injection en nuestra guía del SSM, programa cada vez más recomendable).
Toolbars: grupo de botones situados generalmente bajo la barra de herramientas del navegador. Pueden deberse a aplicaciones normales (limpias) que tengamos instaladas, al integrarse de esa manera en nuestro navegador, aunque en ocasiones pueden ser producto de la presencia de BHO maliciosos. Hay muchos más, pero esta muestra sirve de ejemplo para ver cómo esta fauna cada vez posee más elementos específicos, adquiriendo protagonismo propio por encima de denominaciones genéricas como spyware/adware. De la misma manera, hay que decir que no es infrecuente que se presenten simultáneamente en un mismo spyware, cada vez más complejos y con más ramificaciones por nuestros sistemas.
RECOMENDACIONES PREVIAS
Una vez descargado a nuestro HD, es conveniente emplazarlo en una carpeta que le hayamos creado ex profeso (en ella alojará los backups previos).
hjt1 Nos vamos al botón Config...
hjt2 Emplear esta herramienta no está exento de riesgo. Si se nos va la mano en la limpieza, podemos obtener resultados no deseables como puede ser mal funcionamiento del sistema e inclusive, problemas en su arranque. Es por ello sumamente importante indicarle que realice backups previos a su acción; por ese motivo nos aseguraremos de tildarle el casillero Make backups before fixing items desde el apartado Main. Si más adelante nos es preciso restaurarlo,acudimos a Backups, seleccionamos el correspondiente y pulsamos Restore (si hemos comprobado que no es necesario, desde aquí podemos también eliminar los backups ya inútiles, mediante el botón Delete).
hjt3 En ningún caso, ni los responsables del programa ni el que subscribe este artículo se hacen responsables de problemas derivados de su uso; ya se sabe que trastear en el registro puede traer consecuencias de diverso tipo y sólo usuarios con ciertos conocimientos deben aventurarse en determinadas labores, siempre bajo su propia responsabilidad. No obstante y teniendo en cuenta que desde un sistema con problemas en el arranque nos sería difícil la restauración de los backups propios de HJT,la recomendación es, antes de utilizar HJT, llevar a cabo backups plenos del registro mediante ERUNT y saber cómo restaurarlos en caso de problemas. En su artículo correspondiente de Nautopía, tenéis información sobre cómo crearlos y restaurarlos aun cuando el sistema se haya visto dañado en su arranque. Aseguraros de tener este aspecto bajo control y haber comprendido su manejo antes de meteros en faena ;-)
Más recomendaciones antes de emplear HJT: es conveniente capar todas las aplicaciones posibles antes de scanear con HJT. La explicación es sencilla: todo el trabajo a realizar se basa en el estudio del log resultante tras el escaneo; si tenemos numerosos servicios superfluos y aplicaciones conocidas iniciándose junto al sistema, el log va a ser muy extenso y por tanto más laborioso de analizar (todo lo superfluo sencillamente nos estorbaría a la hora de localizar a los culpables que andamos buscando para la ocasión).
Para capar lo superfluo suele bastar acudir a Inicio > Ejecutar > msconfig y desde las pestañas Services y StartUp, desmarcar lo no imprescindible.
¿Qué es lo superfluo? ...bueno, es más sencillo decir los que debemos dejar activos, que serían sólo servicios básicos del sistema y algunos elementos pertenecientes a la tarjeta gráfica. Para lo primero suele ser útil revisar alguna guía al respecto como puede ser la de Wininfo (que de paso, os servirá para mejorar vuestro sistema).
Aparte de eso, capar todo lo correspondiente a aplicaciones que hayáis instalado (antivirus, antispy, cortafuegos, elementos del adobe acrobat, de sistemas multimedia -quicktime, realplayer, etc.-, utilidades de grabación, etc.) porque recalco que para el objetivo que nos traemos entre manos, sólo servirán para estorbar a la hora de analizar el log resultante. Sed meticulosos con estos detalles, merece la pena.
Por supuesto, en esas condiciones es totalmente desaconsejable que os conectéis a Internet; antes de ello -y siempre después de que hayamos escaneado y obtenido un log de HJT libre de elementos superfluos-, deberéis activar nuevamente vuestra protección habitual de antivirus-cortafuegos. No olvidéis por tanto anotar los cambios que llevéis a cabo en Services y StartUp para, más adelante, poder volver a dejarlos como estaban.
Si por cualquier razón no os es posible acceder mediante Inicio > Ejecutar > msconfig, es posible acceder a los Servicios desde Panel de Control > Herramientas Administrativas > Servicios. Y para ver de manera alternativa otros elementos que se cargan en el arranque, suele ser bastante útil una herramienta como StartupCPL.
...ACCION!
Una vez llevadas a cabo las medidas previas (muy recomendable), estamos en condiciones de emplear HJT. Volvemos a la imagen inicial y pulsamos el botón Scan:
hjt1 En breves instantes, obtendremos un resultado visible en su propia ventana. Para analizar el log suele ser bastante cómodo utilizar el botón Save Log, de manera que indicándole una ubicación, lo tendremos disponible en nuestro bloc de notas.
hjt4 Una vez con el log a nuestro alcance, llega el momento clave: analizarlo.
Como se puede observar en el log, cada línea o ítem va precedida de una letra más uno ó dos números y hacen referencia a lo sgte:
R0, R1, R2, R3: URLs de páginas de inicio/búsqueda en el navegador Internet Explorer (IE).
F0, F1, F2, F3: Programas cargados a partir de ficheros *.ini (system.ini, win.ini...).
N1, N2, N3, N4: URLs de páginas de inicio/búsqueda en Netscape/Mozilla.
O1: Redirecciones mediante modificación del fichero HOSTS.
O2: BHO (Browser Helper Object); pueden ser plugins para aumentar las funcionalidades de nuestro navegador, pero también pueden deberse a aplicaciones maliciosas.
O3: Toolbars para IE.
O4: Aplicaciones que se cargan automáticamente en el inicio de Windows, bien mediante las claves oportunas en el registro, bien por aparecer en la carpeta del grupo Inicio.
O5: Opciones de IE no visibles desde Panel de Control.
O6: Acceso restringido -por el Administrador- a las Opciones de IE.
O7: Acceso restringido -por el Administrador- al Regedit.
O8: Items extra encontrados en el menú contextual de IE.
O9: Botones extra en la barra de herramientas de IE, así como ítems extra en el apartado Herramientas de IE (no incluídas en la instalación por defecto).
O10: Winsock hijackers.
O11: Adición de un grupo extra en las Opciones Avanzadas de IE (no por defecto).
O12: Plugins para IE.
O13: Hijack del prefijo por defecto en IE.
O14: Hijack de la configuración por defecto de IE.
O15: Sitios indeseados en la zona segura de IE.
O16: Objetos ActiveX
O17: Hijack de dominio / Lop.com
O18: Protocolos extra / Hijack de protocolos
O19: Hijack de la hoja de estilo del usuario.
Veamos cada ítem con algo más de detalle:
Grupo R0, R1, R2, R3:
URLs de páginas de inicio/búsqueda en el navegador Internet Explorer (IE).
Si reconocemos las URL hacia las que apuntan R0 y R1 (R2 ya no es utilizado) como válidas, podemos dejarlas tal cual. Si por el contrario son nocivas o tenemos fundadas sospechas de que puedan serlo, es conveniente seleccionarlas y aplicar el "fix" de HJT.
Ejemplo de válidas:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [Solo usuarios Registrados Pueden Ver Enlaces. Click AQUI para REGISTRARTE es GRATIS...]
R1-HKLM\Software\Microsoft\InternetExplorer\Main,Defa ult_Page_URL=http://www.google.com
Si veis que aparece un valor con "(obfuscated)" final, como puede ser el del sgte. ejemplo:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mbnmmc.dll/sp.html (obfuscated)
...es muy posible que se deba a algún spyware, empleando algún método de ocultación para dificultar el reconocimiento. En estos casos suele ser conveniente aplicar el "fix". R3 hace referencia a Url Search Hook, que es usado cuando en el recuadro de direcciones del navegador introducimos alguna pero sin especificar su protocolo ([Solo usuarios Registrados Pueden Ver Enlaces. Click AQUI para REGISTRARTE es GRATIS...] ftp://). En estas ocasiones, el navegador trata de utilizar el protocolo adecuado por sí mismo, pero si el intento no es exitoso, acude a Url Search Hook para tratar de resolver los datos que le hemos introducido como URL. Esta información se encuentra en la sgte. clave del registro: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks
Si el valor que os sale en esa clave es del tipo R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497}_ - (no file) ...con ese guión bajo final ( _ , resaltado en color para el ejemplo), suele ser conveniente hacer uso de Regedit para reparar a mano el nombre del valor, ya que HJT no puede solucionarlo en esos casos. No quitéis el valor numérico mostrado arriba, ya que es el empleado por defecto.
Como norma general para R3, en caso de aparecer en el log, deberíamos indagar sobre la información mostrada. Si es referente a un programa que nosotros hemos instalado (el multibuscador Copernic, por ejemplo) y fuera de confianza, no pasa nada; pero en caso de ser algo sospechoso, lo indicado es aplicarle el "fix".
Grupo F0, F1, F2, F3:
Programas cargados a partir de ficheros *.ini (system.ini, win.ini...).
Hay reportados problemas graves para arrancar el sistema si tras fijar uno de estos ítems (especialmente F2) se ha llevado a cabo la restauración de un backup propio de HJT en su versión 1.98.2 (la actual) ...sed muy cautos por tanto y valorad los riesgos previamente. Aunque desde Nautopía recomendamos el uso de ERUNT para tales fines y probablemente solventase el problema, no nos hemos visto en situación de poder comprobarlo en la práctica ante esta situación concreta. Ahí queda el aviso...
F0: en caso de que aparezcan, desde Merijn.org recomiendan aplicarles siempre el "fix". Su información procede de shell= en system.ini. En condiciones normales, esta ubicación indica el gestor del entorno gráfico del sistema, el responsable de cargar el escritorio al inicio del windows y permitir manejarnos con ventanas (si se me permite la licencia del símil, "las X" del mundo linux). Como habréis adivinado, nos referimos al explorer.exe ...pero (y este es el quid de la cuestión), si tras explorer.exe tenemos un morralla.exe, se cargará igalmente al iniciar nuestro win. Todo lo que encontréis aquí tras explorer.exe, se convierte en altamente sospechoso.
F1: suelen deberse a programas muy antiguos y lo indicado es buscar información sobre ellos para decidir si son sospechosos o no. Su información procede del win.ini, concretamente de Run= o Load=; el primero se empleaba con antiguos programas para que se cargaran con el arranque de win (hablamos de Win 3.1/95/98), pero hoy no es habitual; el segundo se empleaba para cargar controladores de hardware.
El listado Pacman's Startup List os puede servir a nivel orientativo para identificar ejecutables.
F2 y F3 vienen a utilizar el equivalente de los anteriores pero en los windows de núcleo NT (Win
NT/2000/XP), que no suelen hacer uso de system.ini/win.ini del modo tradicional; estamos hablando de entradas en el registro:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\IniFileMapping
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
La primera se emplea para permitir la compatibilidad hacia atrás con aplicaciones de uso en los Win 9x. Mediante la función IniFileMapping se ha colocado en el registro cada línea aparecida en el fichero .ini, de manera que al utilizar un programa que haga uso de él, va a buscarse primero la equivalencia en el registro.
La segunda cadena nos habla de lo que se carga inmediatamente después de que el usuario se loguea al iniciar el sistema. Userinit.exe se encuentra en C:\WINNT\system32 o en C:\WINDOWS\system32, según el Win que empleemos (a lo largo del artículo, indicaremos C:\WINNT o C:\WINDOWS como [**]); su función es meter el perfil de cada usuario tras el login. En este caso el problema viene si aparece un morralla.exe (treta frecuente de ver en troyanos) tras userinit:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit =[**]\system32\userinit.exe,[**]\morralla.exe
Esto se ve en la información del valor userinit, picando dos veces sobre él desde regedit; estaría de la sgte.manera, separado simplemente por una coma (resaltada en amarillo):
Userinit = [**]\system32\userinit.exe, [**]\morralla.exe
No preocuparos si bajo Win NT encontráis el valor por defecto: userinit,nddeagnt.exe, es normal bajo ese sistema. Pero cualquier otro ejecutable es altamente probable que se trate de morralla y/o troyano. Grupo N1, N2, N3, N4:
URLs de páginas de inicio/búsqueda en Netscape/Mozilla.
N1, N2, N3, N4 corresponden respectivamente a las páginas de inicio/búsqueda de Netscape v4, v6, v7 y Mozilla. Estos datos se encuentran en el fichero prefs.js, habitualmente localizado en el directorio del navegador.
El uso de estos navegadores no está tan extendido como el de IE y por tanto, están menos expuestos a la acción de morralla especializada; sin embargo, haberla hayla (de la extensa familia Lop.com por ejemplo). Si os aparece una entrada de este nivel y no la reconocéis como vuestra página deseada de inicio/búsqueda, lo indicado es marcarla y aplicarle el "fix" de HJT.
O1: Redireccionamientos por modificación del fichero HOSTS
El fichero HOSTS lo podemos encontrar en diversas ubicaciones según el windows empleado. Se localiza en C:\WINDOWS\ en los Win 9x/Me y en [**]\SYSTEM32\DRIVERS\ETC\ en los Win NT/2000/XP/2003.
Mediante el fichero HOSTS es posible asociar IPs con dominios. En condiciones normales, puede ser empleado si queremos evitar el acceso a determinados dominios que sabemos problemáticos, simplemente editando a mano el fichero HOSTS y asociando nuestra dirección localhost 127.0.0.1 con el dominio indeseable. Ejemplo: 127.0.0.1 [Solo usuarios Registrados Pueden Ver Enlaces. Click AQUI para REGISTRARTE es GRATIS...] hacerlo, si introducimos esa dirección en el navegador, nuestro equipo primero la buscará en el fichero
HOSTS y al encontrarla, se evitará resolverla externamente mediante DNS. De esta manera evitamos que se pueda acceder a dicho dominio indeseable.
Sin embargo, puede ser empleado con fines maliciosos por la morralla que tratamos de combatir en este artículo, sencillamente dándole la vuelta a la tortilla: si en lugar de localhost se emplea una IP determinada (llamémosla IP morralla) para direcciones de uso habitual, por ejemplo [Solo usuarios Registrados Pueden Ver Enlaces. Click AQUI para REGISTRARTE es GRATIS...], cada vez que introduzcamos la dirección de google en nuestra barra de direcciones, seremos llevados a la página de la IP morralla. Esto redireccionamiento suele ser frecuente de ver por parte de los hijackers.
Si el ítem O1 nos muestra una IP que no se corresponde con la dirección, podemos marcarla y aplicarle el "fix" de HJT.
Si nos muestra O1 - Hosts file is located at C:\Windows\Help\hosts ...casi con toda probabilidad estamos delante de una infección por CoolWebSearch (CWS), en cuyo caso conviene aplicarle el "fix", aunque mejor si previamente lo intentamos con herramientas específicas contra CWS como pueden ser (en este orden)delcwssk y CWShredder.
O2: BHO (Browser Helper Object)
Pueden ser plugins para aumentar las funcionalidades de nuestro navegador, perfectamente normales, pero también pueden deberse a aplicaciones morralla. Es preciso por tanto que el usuario investigue para comprobar el grado de sospecha. En el listado de Tony Klein y colaboradores en Sysinfo, podréis encontrar referenciadas numerosas CLSID (class ID, el número entre llaves: {número class ID}). Las allí señaladas en Status como "X" son catalogadas de spyware, las "L" como normales o limpias.
Ejemplo normal:
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
...si introducís ese CLSID (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) en el buscador del listado, os lo mostrará catalogado como "L", es decir, normal, ya que está originado por nuestro Adobe Acrobat Reader.
Si por el contrario el resultado de vuestra búsqueda os lo mostrara como "X", ya sabéis que se trata de spyware y conviene aplicarle el "fix". Es preciso que en ese momento no tengáis abierta ninguna ventana del navegador e incluso así, a veces hay casos rebeldes. Si tras aplicar el "fix" veis que vuelve a salir en el listado, será preciso reiniciar en modo a prueba de fallos (modo seguro) para erradicarlo.
O3: Toolbars para IE
Recordamos la definición de Toolbar: suelen ser un grupo de botones situados generalmente bajo la barra de herramientas del navegador, que pueden deberse a aplicaciones normales que tengamos instaladas, al integrarse de esa manera en nuestro navegador, aunque en ocasiones pueden ser producto de la presencia de BHO maliciosos. Su ubicación en el resgistro depende de esta cadena: HKLM\Software\Microsoft\Internet Explorer\Toolbar
Ejemplo normal:
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll
...como se ve en el ejemplo, esa toolbar está originada por el Norton Internet Security de Symantec. Sin embargo, en caso de no reconocer el nombre mostrado, se puede acudir al mismo listado reseñado para los ítems O2 para tratar de salir de dudas respecto a su identidad. El procedimiento es el mismo: buscar en función del CLSID y comprobar si está referenciado como "X" (spyware) o "L" (limpio). En caso de ser spyware, conviene marcar el ítem y aplicar el "fix" de HJT.
O4: Aplicaciones de carga automática en inicio de Windows por Registro/grupo Inicio
La carga automática de estas aplicaciones viene dada por ciertas claves en el registro o por aparecer en directorios del grupo Inicio.
* Claves del registro implicadas:
• HKLM\Software\Microsoft\Windows\CurrentVersion\Run ServicesOnce
• \RunServices
• \Run
• \RunOnce
• \RunOnceEx
• \Policies\Explorer\Run
• HKLM\Software\Microsoft\Windows\CurrentVersion \RunServicesOnce
• \RunServices
• \Run
• \RunOnce
• \RunOnceEx
• \Policies\Explorer\Run
• HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
• \RunServicesOnce
• \RunServices
• \Run
• \RunOnce
• \Policies\Explorer\Run
Ejemplo: O4 - HKCU\..\Run: [SystemSafe] C:\Archivos de programa\SSM\SysSafe.exe
* Los directorios del grupo Inicio pueden tener estas ubicaciones:
* C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio...reflejado en el log de HJT como Global Startup; son programas que se cargan para el perfil de todos los usuarios.
Ejemplo: O4 - Global Startup: TeleSA.lnk = C:\Archivos de programa\AVer Teletext\AVerSA.exe
* R:\Documents and Settings\USUARIO\Menú Inicio\Programas\Inicio...reflejado en el log de HJT como Startup: programas que se cargan sólo para el perfil de ese USUARIO.
Ejemplo: O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
Al igual que para el Grupo F, ante la duda, el Pacman's Startup List os podría servir a nivel orientativo para identificarlos.
Si os encontráis con un ítem indeseable y deseáis aplicarle el "fix", no será exitoso mientras el proceso esté activo en memoria. En esos casos, primero debéis acudir al Administrador de Tareas para cerrar dicho proceso y poder luego actuar con HJT.
O5: Opciones de IE no visibles desde Panel de Contro l
En condiciones normales, las Opciones de Internet de IE son accesibles desde Panel de Control. Existe la posibilidad de no permitirlo (desaparecer su icono), añadiendo una entrada en el fichero control.ini ubicado en [**] (C:\WINNT o C:\WINDOWS, según versión del SO), lo que se reflejaría en el sgte. ítem del log de HJT:
O5 - control.ini: inetcpl.cpl=no
...pero este hecho, a menos que sea una acción intencionada del Administrador del Sistema (en cuyo caso lo dejaríamos tal cual), podría deberse a la acción de alguna aplicación morralla que de esta manera trate de dificultar que cambiemos las Opciones del IE. Si se trata de esto último, es conveniente aplicarle el "fix" de HJT.
O6: Acceso restringido -por el Administrador- a las Opciones de IE
Si el acceso está restringido por el Administrador o bien porque empleamos Spybot S&D y aplicamos su protección-bloqueo de las Opciones del IE (en Herramientas > Modificaciones de IE: Bloquear la configuración de la pág. de Inicio...), aparecerá un ítem como el sgte.:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
Si por ejemplo en ese mismo apartado de Spybot S&D no hemos marcado el casillero Bloquear el acceso..., observaríamos este otro:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
Si el acceso restringido (primer ítem de ejemplo) aparece y no se debe a medidas intencionadas por parte del Administrador y/o la acción preventiva de Spybot, suele ser conveniente aplicarle el "fix".
O7: Acceso restringido -por el Administrador- a Regedit
Cuando el acceso a Regedit está bloqueado mediante la correspondiente clave del registro (no es infrecuente en políticas de seguridad corporativas), se refleja en un ítem como el sgte.: O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
Salvo que lo anterior se deba a medidas tomadas intencionadamente por el Administrador (en cuyo caso ignoraríamos el ítem), es conveniente aplicarle el "fix" de HJT.
O8: Items extra en el menú contextual de IE
El menú contextual en IE es el que obtenéis al picar con el botón derecho sobre la web que estáis viendo. Os muestra diferentes ítems o líneas de selección y pueden deberse a aplicaciones normales, pero también a spyware. Las diferentes opciones en ese menú se albergan en la sgte. cadena del registro:
HKCU\Software\Microsoft\Internet Explorer\MenuExt
Ejemplo normal: O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 Pero si no reconocéis la aplicación responsable del ítem extra en el menú contextual y sospecháis que sea por morralla, podéis aplicarle el "fix" de HJT.
O9: Botones extra en la barra de herramientas de IE / Items extra en el apartado Herramientas de IE (no incluídas en la instalación por defecto)
Si tenéis botones extra en la barra de herramientas principal de IE o bien ítems extra en el menú Herramientas de IE (que no sean los incluídos en la instalación por defecto) y queréis deshaceros de ellos por sospechar que provengan de morralla, deberéis fijaros en este ítem O9 del log de HJT, que obtiene los datos de la sgte. cadena del registro: HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions
Ejemplos normales:
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O9 - Extra button: AIM (HKLM)
En los normales no es preciso hacer nada, pero ante casos indeseables que queráis hacerlos desaparecer, el "fix" de HJT debería poder con ellos sin problemas.
O10: Winsock hijackers
En este apartado hay que ser extremadamente cautos o podéis dañar vuestra conexión a Internet. Desde la propia Merijn.org recomiendan, en caso de necesitar resolver reseñas mostradas en este ítem O10, emplear versiones modernas de Spybot S&D o la herramienta LSPFix de Cexx.org mejor que actuar con HJT. Es por ello que os remitimos a esas dos alternativas en vez de profundizar en este punto.
No os preocupéis si veis aquí referencias a algún módulo de vuestro antivirus. Puede ser normal en aquellos que actúan a nivel del winsock.
O11: Adición de un grupo extra en las Opciones Avanzadas de IE (no por defecto) Estamos hablando de IE > Herramientas > Opciones > pestaña Opciones Avanzadas. Si ahí apareciera algún grupo extra, no perteneciente a los que trae por defecto, vendría reflejado (como los originales) en la sgte. cadena del registro: HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions Desde Merijn.org comentan que, de momento, sólo el hijacker CommonName añade sus propias opciones en la pestaña de avanzadas. En ese caso el ítem mostrado (morralla) sería como sigue: O11 - Options group: [CommonName] CommonName
...si tenéis ese caso, marcadlo y aplicar el "fix" de HJT. Si es otro distinto, en principio se convierte en sospechoso y requerirá que busquéis información por la red acerca de su procedencia.
O12: Plugins para IE
En condiciones normales, la mayoría de plugins son de aplicaciones legítimas y están ahí para ampliar funcionalidades de IE.
Ejemplos normales:
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Archivos de programa\Internet Explorer\Plugins\nppdf32.dll
Generalmente son normales, pero ante la duda, conviene buscar por la red su procedencia.
No obstante, se tiene reportado algún caso claro de morralla en este apartado como es el plugin de OnFlow, que se detecta fácil por su extension *.ofb; si os lo encontráis, conviene marcarlo y aplicar el "fix".
O13: Hijack del prefijo por defecto en IE
El prefijo por defecto en IE (IE DefaultPrefix), hace referencia a cómo son manejadas las URLs que introducimos en el casillero de direcciones del navegador IE, cuando no especificamos el protocolo ([Solo usuarios Registrados Pueden Ver Enlaces. Click AQUI para REGISTRARTE es GRATIS...] ftp://, etc.). Por defecto IE tratará de emplear [Solo usuarios Registrados Pueden Ver Enlaces. Click AQUI para REGISTRARTE es GRATIS...] pero es posible modificar este valor en el registro mediante la sgte. cadena:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL \DefaultPrefix\ De hecho, existen aplicaciones morralla que lo llevan a cabo, obligando al navegante incauto a llegar hacia donde no desea. Una de ellas, muy conocida, es el hijacker CoolWebSearch (CWS), que sustituye el DefaulPrefix por "http://ehttp.cc/?", de manera que cuando el usuario introduce "www.google.com", automáticamente es derivado a "http://ehttp.cc/?www.google.com", que es un site perteneciente a CWS. Como veis, avispados son.
Ejemplo nocivo de CWS:
O13 - WWW. Prefix: [Solo usuarios Registrados Pueden Ver Enlaces. Click AQUI para REGISTRARTE es GRATIS...]?
...en estos casos, antes de emplear HJT, conviene utilizar herramientas específicas contra CWS como pueden ser delcwssk primero y CWShredder después (no olvidéis actualizarlo antes de aplicarlo). Pasar tras reiniciar el scan de HJT y comprobad si ha sido suficiente con ellas, aplicando finalmente el "fix" de HJT en caso necesario.
CWS tiene muchísimos dominios y es un listado en continua expansión; sed cuidadosos ahí fuera. Otros ejemplos morralla a los que podéis aplicar el "fix":
O13 - DefaultPrefix: [Solo usuarios Registrados Pueden Ver Enlaces. Click AQUI para REGISTRARTE es GRATIS...]
O13 - WWW Prefix: [Solo usuarios Registrados Pueden Ver Enlaces. Click AQUI para REGISTRARTE es GRATIS...]?
O14: Hijack de la configuración por defecto de IE
Hay una opción entre las muchas del IE, que es resetear los valores presentes y volver a la configuracion por defecto. Los valores de esta última, se guardan en el fichero iereset.inf, ubicado en [**]\inf y el problema puede aparecer si un hijacker modifica la información de dicho fichero porque, de esa manera, al resetear a la configuración por defecto, lo tendríamos presente de nuevo. En estos casos es conveniente aplicar el "fix".
Ejemplo morralla: O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com
No obstante, tened cuidado porque no todo lo que aparece en este ítem tiene que ser nocivo. A
veces puede deberse a manipulaciones legítimas del Administrador de Sistemas, manufactura de equipos de ciertas marcas, corporativos, etc. En estos casos seguramente reconoceréis la URL mostrada y no será necesario ningún procedimiento.
O15: Sitios indeseados en la zona segura de IE
En IE la seguridad se establece por medio de zonas o y según éstas, la permisividad en términos de seguridad es mayor o menor. En niveles bajos de seguridad, es posible ejecutar scripts o determinadas aplicaciones que no están permitidos en niveles altos. Es posible añadir dominios a unas zonas u otras (sitios de confianza/sitios restringidos), según nuestro grado de confianza en ellos y esto se recoge en la sgte. cadena del registro: HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\Domains
Si por ejemplo hemos añadido [Solo usuarios Registrados Pueden Ver Enlaces. Click AQUI para REGISTRARTE es GRATIS...] a los sitios de confianza, nos aparecería reflejado de esta manera en el ítem correspondiente de HJT:
O15 - Trusted Zone: [Solo usuarios Registrados Pueden Ver Enlaces. Click AQUI para REGISTRARTE es GRATIS...] igual manera puede aparecer, por ejemplo, el dominio de empresa de nuestro puesto de trabajo o cualquier otro que hayamos añadido conscientemente.
Pero puede darse el caso de que alguna compañía como AOL o morralla como CWS, introduzcan silentemente sus dominios dentro de los sitios de confianza, lo que podría verse reflejado de la sgte. manera:
O15 - Trusted Zone: [Solo usuarios Registrados Pueden Ver Enlaces. Click AQUI para REGISTRARTE es GRATIS...]
O15 - Trusted Zone: *.coolwebsearch.com
En el caso de CWS o en el de cualquier otro que no deseemos tener como sitio de confianza, le indicaremos a HJT su "fix".
O16: Objetos ActiveX
Los objetos ActiveX son programas descargados de alguna web y guardados en nuestro ordenador; por ello también se les denominan Downloaded Program Files. La ubicación de almacenamiento es [**]\Downloaded Program Files
Podemos encontrar ítems normales como el del sgte. ejemplo:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [Solo usuarios Registrados Pueden Ver Enlaces. Click AQUI para REGISTRARTE es GRATIS...]
Y otros típicos de morralla que, con suerte, serán fácilmente identificables si muestran nombres sospechosos relacionados con porno, dialers, toolbars indeseadas o palabras claves como casino, sex, adult, etc. Ejemplo:
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - [Solo usuarios Registrados Pueden Ver Enlaces. Click AQUI para REGISTRARTE es GRATIS...]
En casos de morralla, podemos emplear tranquilamente el "fix" de HJT, pero si tras volver a escanear viéramos casos rebeldes que siguen presentes, sería necesario reiniciar en modo seguro (pulsando F8...) para proceder con su eliminación.
Spywareblaster de JavaCool cuenta en su base de datos con un numeroso listado de ActiveX maliciosos. Volvemos a recomendar su utilización preventiva.
O17: Hijack de dominio / Lop.com
En condiciones normales, cuando introducimos el nombre de un site en el navegador en lugar de su dirección IP, nuestro PC contacta con un servidor DNS para que resuelva correctamente el nombre del dominio. Sin embargo, puede darse el caso de que un hijacker cambie las DNS para que empleemos su propio servidor en lugar del servidor DNS habitual. Si lo llevan a cabo podrán redireccionarnos a donde les apetezca, apuntando nuestras peticiones hacia los dominios de su elección (no la nuestra).
Ejemplo normal:
O17 - HKLM\System\CCS\Services\Tcpip\..\{41BAB21B-F197-471E-8B00-F28668AB8782}: NameServer = 194.224.52.36,194.224.52.37
...decimos normal porque esas IPs corresponden a servidores DNS de un conocido ISP español y en estos casos no es preciso hacer nada. Es la situación más habitual, encontrar las DNS que nos proporciona nuestro ISP.
Para comprobar si son buenas o no, podéis hacer un whois con aplicaciones ex profeso o acudir a sites de fiar que ofrezcan ese servicio, como RIPE, ARIN, inclusive el propio Google. Ahora bien, si los resultados de nuestras pesquisas apuntan hacia morralla, les aplicaremos el "fix" con HJT.
O18: Protocolos extra / Hijack de protocolos
Es difícil explicar este apartado de una manera sencilla. A grosso modo, decir que nuestro SO emplea unos protocol drivers estándar para enviar/recibir información, pero algunos hijackers pueden cambiarlos por otros (protocolos "extra" o "no estándar") que les permitan en cierta manera tomar el control sobre ese envío/recepción de información.
HJT primero busca protocolos "no estándar" en HKLM\SOFTWARE\Classes\PROTOCOLS\ y si los encuentra, mediante la CLSID trata de obtener la información del path, también desde el registro: HKLM\SOFTWARE\Classes\CLSID
Ejemplo morralla:
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\ARCHIV~1\ARCHIV~1\MSIETS\msielink.dll
Esta técnica no es de las más frecuentes de ver, pero puede ser empleada por conocida morralla como Huntbar -RelatedLinks- (la del ejemplo), CommonName -cn-, Lop.com -ayb-, inclusive CWS. Si los veis reseñados como tal en el ítem O18 de HJT, aplicadles el "fix".
O19: Hijack de la hoja de estilo del usuario
Según Merijn.org, en caso de aparecer en el log de HJT este ítem O19, coincidente con un navegador ralentizado y frecuentes pop-ups, podría ser conveniente aplicarle el "fix". Sin embargo, dado que hasta el momento sólo se tiene reportado a CWS como responsable, la recomendación es emplear contra él las herramientas específicas citadas anteriormente.
Señalar que puede haber usuarios que tengan prefijada una hoja de estilo a su gusto, en cuyo caso no deberían prestar atención a este ítem.
__________________
...los hombres piensan en las cosas q existen, y se preguntan xq, yo pienso en las cosas q nunca existieron, y me pregunto xq no...
Última edición por ghrama; 03-10-2008 a las 23:51.
|
|
|
|
30-07-2009, 01:31
|
Miembro Junior
Nivel máximo: 59%, 83 Puntos |
Fecha de Ingreso: Jul 2009
Mensajes: 16
Pais: 
|
Yo soy diseñador entre otras cosas de virus y en la organizacion estoy haciendo el virus mas potente de todo el mundo que no tedra que salir nesesaria mente amenos que aya un caso de ciber terrorismmo mundial
|
|
|
|
|
| Herramientas |
|
|
| Desplegado |
 Mode Lineal
|
Normas de Publicación
|
No puedes crear nuevos temas
No puedes responder temas
No puedes subir archivos adjuntos
No puedes editar tus mensajes
caritas están Activado
[IMG] está Activado
Código HTML está Desactivado
|
|
|
|
|
» Publicidad |
|
|
|
» Publicidad |
|
