novedades-windows-vista-seguridad.pdf Artículo realizado por la empresa española Informatica64 en el que se explican las principales novedades en seguridad que añade el sistema operativo Windows Vista en relación a Windows XP.
lunes, 1 de diciembre de 2008
Los 25 errores más comunes en seguridad de correo electrónico
errores-mas-comunes-seguridad-correos.pdf Traducción de un artículo en inglés realizada por www.segu-info.com.ar en el que se explican las acciones que no se deben realizar a la hora de utilizar el correo electrónico para preservar su seguridad y evitar fraudes.
Introducción a la virología móvil
Monográfico realizado por Karspersky Lab. Está dividido en dos partes:
virologia-movil-1.pdf . Resumen histórico de los virus para móviles así como su clasificación y los fundamentos en los que se basan para su funcionamiento.
virologia-movil-2.pdf . Información de los métodos de propagación y del origen geográfico de los diferentes virus, así como de los fallos que tienen los Sistemas Operativos para móviles que son aprovechados por los virus.
Análisis ISO 27001:2005.
Estudio elaborado por Alejandro Corletti Estrada para el análisis de la norma ISO 27001:2005 que ayuda a planificar e implementar una polítitca de seguridad para una empresa.
Análisis ISO 27001:2005
ISO-27001:Los controles(I)
ISO-27001:Los controles(II)
ISO-27001 e ISO-27004
Informe de malware 2005 y previsiones 2006.
http://www.alerta-antivirus.es/docs/INFORME DE MALWARE 2005 Y PREVISIONES 2006.pdf Informe elaborado por Trend Micro, en el que se expone un análisis en materia de malware en el año 2005 y la previsión para el próximo año.
Los virus de 2004. Incidencia, tendencias. Previsión para 2005.
http://www.alerta-antivirus.es/docs/Informe_Trend_2004.pdf Informe elaborado por Trend Micro, en el que se expone lo que el año 2004 ha dado de sí en materia de virus y amenazas informáticas. Así mismo, presenta sus previsiones para 2005, la tendencia en los ataques y la manera de mitigarlos.
Estado actual de la seguridad de los sistemas de la información en empresas.
http://www.alerta-antivirus.es/docs/seguridad_empresas.pdf Documento elaborado por Asimelec donde se recogen los resultados de un estudio sobre la situación actual de la seguridad de los sistemas de la información en empresas, según la Norma ISO/IEC17799:2000.
Novedades de seguridad de Windows XP.
Novedades de seguridad de Windows XP Professional y Windows XP Home Edition Artículo en español en el que se explica las principales novedades de seguridad del Sistema Operativo Windows XP, respecto a sus predecesores. Technet de Windows XP, SP2Página con gran cantidad de enlaces en los que se explican cómo configurar diferentes opciones de XP como copias de seguridad, cortafuegos de Windows, protección de memoria...
Certificación 'common criteria'.
Certificación 'common criteria' Artículo publicado en el Boletin nº 25 de la revista ASTIC firmado por Microsoft en el que se presenta la certificación Common Criteria que se establece como el resultado de la unificación de los criterios de evaluación para la seguridad de los productos IT.
Tendencias y previsiones víricas.
http://www.alerta-antivirus.es/docs/tendencias_y_previsiones.pdf Documento generado por Trend Micro en el que se analizan las conductas y tendencias seguidas por los virus durante los años de 2000 a 2002, y lo que cabe esperar en este aspecto del año 2003.
Virus informáticos al descubierto
http://www.alerta-antivirus.es/docs/Virus_InformaticosESP.pdf Un documento de Sophos ameno y bien presentado con información básica y recomendaciones para protegerse de los virus informáticos.
An Introduction to Computer Viruses and Other Destructive Programs, de McAfee
http://download.nai.com/products/media/vil/pdf/av_white.pdf 14 páginas creadas por McAffe en las que de forma monográfica y partiendo de definiciones básicas, nos ilustra de una forma rápida y concisa sobre que son los virus, como afectan a nuestros sistemas informáticos y que podemos hacer para prevenirlos.
An Introduction to Computer Security: The NIST Handbook
http://csrc.nist.gov/publications/nistpubs/800-12/handbook.pdf El National Institute of standards and Technology del U.S. Department of Comerce, a lo largo de sus 290 páginas aborda como deben tratarse las políticas de seguridad de redes, sin llegar a entrar en detalle en los temas de virus.
Recomendaciones sobre seguridad de Red Iris
Recomendaciones sobre seguridad de Red Iris Versión 0.1 publicado el 15 de Noviembre de 2000. Plantea recomendaciones generales de seguridad tanto a nivel de red como de sistema, siendo en el capítulo de recomendaciones para usuarios finales donde se aborda el tema de antivirus, virus y caballos de troya.
Amenazas a la Seguridad. Symantec
http://www.alerta-antivirus.es/docs/Threat_Report_Final_4C.pdf Documento generado por Symantec Refleja un aumento de las vulnerabilidades reportadas y una caída en la actividad total de los ataques. El informe indica también un aumento del peligro de amenazas combinadas.
Cómo deshabilitar compartir archivos en programas P2P
Cómo deshabilitar compartir archivos en programas P2P
Si su computadora se infecta y tiene un programa de intercambio de archivos entre usuarios, es conveniente deshabilitar la opción de compartir archivos, al menos hasta haber limpiado correctamente el sistema.
Los programas del tipo Peer-To-Peer (P2P), permiten el intercambio de archivos de "computadora a computadora" entre usuarios conectados a una misma red (KaZaa, Morpheus, iMesh, etc.)
La mayor parte de esas aplicaciones comparten en forma automática archivos y carpetas completas del disco del usuario, con otros usuarios en cualquier otra parte del mundo.
Además del riesgo a la privacidad que ello representa, existe el hecho real de que muchos virus se aprovechan de esa situación para propagarse a otras computadoras, disfrazándose de archivos inocentes dejados en estas carpetas compartidas.
En cualquier caso, cuando se limpia una computadora infectada, es necesario deshabilitar la opción que permite compartir archivos, o no solo se correrá el peligro de infectar a otros usuarios conectados a la misma red de intercambio, sino que la propia limpieza del sistema infectado podría directamente fallar.
A continuación una lista de algunos de esos programas, con las instrucciones para deshabilitar la opción de compartir archivos. Si después de la limpieza desea habilitar dichas opciones, repita las mismas instrucciones, pero marcando lo que desmarcó, etc.
Instrucciones para deshabilitar carpetas compartidas
1. Deshabilitar las carpetas compartidas de KaZaa
a. Ejecute KaZaa.
b. Seleccione en la barra del menú la opción: "Tools" > "Options".
c. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic".
d. Pinche en "Aceptar", etc.
2. Deshabilitar las carpetas compartidas en BearShare
a. Ejecute BearShare.
b. Seleccione "Options" del menú "Setup".
c. Seleccione la lengüeta "Sharing"
d. Seleccione todo lo que estuviera en la ventana bajo el título "Share the files in these directories and their sub-directories:" y pinche en "Remove"
e. Pinche en "Aceptar", etc.
3. Deshabilitar las carpetas compartidas en Grokster
a. Ejecute Grokster.
b. Seleccione "Tools" > "Find Media to Share" > "Folder List".
c. Pinche en el botón "DeSelect All".
d. Pinche en "Aceptar", etc.
4. Deshabilitar las carpetas compartidas en eDonkey2000
eDonkey2000 automáticamente comparte el contenido de cualquier carpeta que usted haya especificado para recibir los archivos. Por lo tanto no se puede restringir la posibilidad de compartir dicha carpeta. Se recomienda no utilizar este software en su computadora.
5. Deshabilitar las carpetas compartidas en Swaptor
Swaptor automáticamente comparte el contenido de cualquier carpeta que usted haya especificado para recibir los archivos. Por lo tanto no se puede restringir la posibilidad de compartir dicha carpeta. Se recomienda no utilizar este software en su computadora.
6. Deshabilitar las carpetas compartidas en Morpheus
a. Ejecute Morpheus.
b. Seleccione "Options" del menú "Edit".
c. Seleccione la opción "Traffic" de la lista de opciones.
d. En Limits, en la entrada "Maximum simultaneous uploads", borre el valor anterior (por ejemplo "5"), escriba "0" (cero), y pinche en OK.
e. Pinche en "Aceptar", etc.
7. Deshabilitar las carpetas compartidas de WinMX
a. Ejecute WinMX.
b. Seleccione la lengüeta "Shared Files".
c. Pinche en "Unshare Folder" y seleccione cada una de las carpetas listadas, hasta quitarlas todas.
d. Pinche en "Aceptar", etc.
8. Deshabilitar las carpetas compartidas en iMesh
a. Ejecute iMesh
b. Seleccione "Options" del menú "Preferences".
c. En la ventana de "Category" seleccione "Share" y desmarque la casilla "Allow other users to view my shared files option".
d. Seleccione el menú "Media Manager" y busque en la lista de carpetas, todas las que tengan una casilla grisácea a la derecha del nombre. Márquelas para que dejen de estar grisáceas (quedan tildadas), y luego desmárquelas para que queden en blanco. Repítalo con todas las carpetas y subcarpetas que allí encuentre.
e. Pinche en "Aceptar", etc.
9. Deshabilitar las carpetas compartidas en GTK-Gnutella
a. Ejecute GTK-Gnutella
b. Seleccione "Uploads" de la lista de opciones de la ventana principal.
c. En la casilla "Maximum simultaneous uploads field", ponga 0 (cero).
d. Pinche en "Aceptar", etc.
10. Deshabilitar las carpetas compartidas en LimeWire
a. Ejecute LimeWire.
b. Seleccione "Options" del menú "Tools".
c. En la entrada "Maximum Uploads", borre el valor anterior, escriba "0" (cero), y pinche en OK.
d. Pinche en "Aceptar", etc.
Fuente: VsAntivirus.com
Si su computadora se infecta y tiene un programa de intercambio de archivos entre usuarios, es conveniente deshabilitar la opción de compartir archivos, al menos hasta haber limpiado correctamente el sistema.
Los programas del tipo Peer-To-Peer (P2P), permiten el intercambio de archivos de "computadora a computadora" entre usuarios conectados a una misma red (KaZaa, Morpheus, iMesh, etc.)
La mayor parte de esas aplicaciones comparten en forma automática archivos y carpetas completas del disco del usuario, con otros usuarios en cualquier otra parte del mundo.
Además del riesgo a la privacidad que ello representa, existe el hecho real de que muchos virus se aprovechan de esa situación para propagarse a otras computadoras, disfrazándose de archivos inocentes dejados en estas carpetas compartidas.
En cualquier caso, cuando se limpia una computadora infectada, es necesario deshabilitar la opción que permite compartir archivos, o no solo se correrá el peligro de infectar a otros usuarios conectados a la misma red de intercambio, sino que la propia limpieza del sistema infectado podría directamente fallar.
A continuación una lista de algunos de esos programas, con las instrucciones para deshabilitar la opción de compartir archivos. Si después de la limpieza desea habilitar dichas opciones, repita las mismas instrucciones, pero marcando lo que desmarcó, etc.
Instrucciones para deshabilitar carpetas compartidas
1. Deshabilitar las carpetas compartidas de KaZaa
a. Ejecute KaZaa.
b. Seleccione en la barra del menú la opción: "Tools" > "Options".
c. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic".
d. Pinche en "Aceptar", etc.
2. Deshabilitar las carpetas compartidas en BearShare
a. Ejecute BearShare.
b. Seleccione "Options" del menú "Setup".
c. Seleccione la lengüeta "Sharing"
d. Seleccione todo lo que estuviera en la ventana bajo el título "Share the files in these directories and their sub-directories:" y pinche en "Remove"
e. Pinche en "Aceptar", etc.
3. Deshabilitar las carpetas compartidas en Grokster
a. Ejecute Grokster.
b. Seleccione "Tools" > "Find Media to Share" > "Folder List".
c. Pinche en el botón "DeSelect All".
d. Pinche en "Aceptar", etc.
4. Deshabilitar las carpetas compartidas en eDonkey2000
eDonkey2000 automáticamente comparte el contenido de cualquier carpeta que usted haya especificado para recibir los archivos. Por lo tanto no se puede restringir la posibilidad de compartir dicha carpeta. Se recomienda no utilizar este software en su computadora.
5. Deshabilitar las carpetas compartidas en Swaptor
Swaptor automáticamente comparte el contenido de cualquier carpeta que usted haya especificado para recibir los archivos. Por lo tanto no se puede restringir la posibilidad de compartir dicha carpeta. Se recomienda no utilizar este software en su computadora.
6. Deshabilitar las carpetas compartidas en Morpheus
a. Ejecute Morpheus.
b. Seleccione "Options" del menú "Edit".
c. Seleccione la opción "Traffic" de la lista de opciones.
d. En Limits, en la entrada "Maximum simultaneous uploads", borre el valor anterior (por ejemplo "5"), escriba "0" (cero), y pinche en OK.
e. Pinche en "Aceptar", etc.
7. Deshabilitar las carpetas compartidas de WinMX
a. Ejecute WinMX.
b. Seleccione la lengüeta "Shared Files".
c. Pinche en "Unshare Folder" y seleccione cada una de las carpetas listadas, hasta quitarlas todas.
d. Pinche en "Aceptar", etc.
8. Deshabilitar las carpetas compartidas en iMesh
a. Ejecute iMesh
b. Seleccione "Options" del menú "Preferences".
c. En la ventana de "Category" seleccione "Share" y desmarque la casilla "Allow other users to view my shared files option".
d. Seleccione el menú "Media Manager" y busque en la lista de carpetas, todas las que tengan una casilla grisácea a la derecha del nombre. Márquelas para que dejen de estar grisáceas (quedan tildadas), y luego desmárquelas para que queden en blanco. Repítalo con todas las carpetas y subcarpetas que allí encuentre.
e. Pinche en "Aceptar", etc.
9. Deshabilitar las carpetas compartidas en GTK-Gnutella
a. Ejecute GTK-Gnutella
b. Seleccione "Uploads" de la lista de opciones de la ventana principal.
c. En la casilla "Maximum simultaneous uploads field", ponga 0 (cero).
d. Pinche en "Aceptar", etc.
10. Deshabilitar las carpetas compartidas en LimeWire
a. Ejecute LimeWire.
b. Seleccione "Options" del menú "Tools".
c. En la entrada "Maximum Uploads", borre el valor anterior, escriba "0" (cero), y pinche en OK.
d. Pinche en "Aceptar", etc.
Fuente: VsAntivirus.com
Disquete de Inicio
Una de las principales medidas de prevención que deben tomarse en cuanto a los ataques de virus informáticos se refiere, es la creación de un Disco de Inicio. Aquí obtendrá una breve explicación de la utilización de esta herramienta, las distintas formas de crearlo y cual es su función principal en la defensa contra los virus informáticos.
Un Disco de inicio es un disco Flexible(disquete) que contiene aquellos archivos y programas necesarios para iniciar la PC en caso de problemas. Es recomendado que sea de 1.44 Mb de capacidad y de Alta densidad para que no sea inicio utilizar más de uno.
Su utilidad, en cuanto a los virus informáticos se refiere, es importantísima, dado que al usarlo para arrancar el equipo se inhabilita cualquier virus o código malicioso que se encuentre alojado en el Sector Maestro de Arranque (MBR) del disco rígido, ya que poseen su propio sector de arranque. Esto permite que aquellos virus con capacidad de volverse residentes infectando el MBR, no logren ejecutarse en ese inicio en particular, dejando que el antivirus tenga la posibilidad de eliminar los virus instalados en ese sector del disco
A muchos de los que leen este documento puede haberles sucedido que su antivirus detectara un virus, pero no pudiera eliminarlo. Este problema se origina debido a que el virus detectado es residente, es decir, se encuentra activo en memoria. Al inhabilitar la carga del virus en memoria mediante el disco de inicio, el antivirus es capaz de eliminarlo y desinfectar el equipo.
Creación del Disco de Inicio
Existen varias formas de crear un disco de inicio para DOS, Windows 3.1x, 95 y 98. Aquí repasaremos todas, para que el usuario elija cual es la más conveniente para él. El requisito para esto es tener un disco vacío y libre de virus en la disquetera.
En PC´s con DOS o Windows 3.1x como sistema operativo, la única forma de crear un disco de inicio, es ejecutando el comando SYS desde la interfaz de comandos (PROMPT). Para ello, deben ejecutar lo siguiente:
C:>SYS A:
NOTA: C:> es el símbolo de la interfaz de comandos; A: es la unidad de la disquetera donde se introdujo el disco.
Otra opción es formateando el disco, la cual es la más segura. Para ello debe ejecutarse el siguiente comando:
C:>FORMAT A: /s
Esto eliminará toda la información en el disco y le copiará los archivos y programas necesarios para iniciar el equipo.
En PC’s con Windows 95/98/2000/Me/XP, pueden utilizarse los pasos antes mencionados, desde la interfaz de comandos MS-DOS, a la cual se puede acceder desde el icono MS-DOS en Inicio/Programas, o ejecutando el archivo command.com desde Inicio/Ejecutar...
Otra opción es utilizar la función de creación de Disco de Inicio que viene con estas versiones del sistema operativo de Microsoft. Para ello, es necesario seguir estos pasos:
Para Windows 95/98
Abrir el Panel de Control desde Inicio/Configuración
Ejecutar el icono Agregar/Quitar Programas...
Dentro de la ventana que se abre al utilizar esta opción, acceder a la ficha que dice “Disco de Inicio”. Esto abrirá un asistente que le indicará todos los pasos para la generación del Disco de Inicio.
Para Windows XP
Abrir Mi Pc
Colocar el ratón sobre la unidad A y pulsar el botón derecho
Seleccionar en el menú que nos sale la opción "Formatear" (tener disquete insertado o nos lo pedirá)
Nos saldrá la ventana para formatear, activamos la casilla "crear disco de inicio de MS-DOS"
Pulsamos 'Iniciar' y creará el Disco de Inicio.
Protección del Disco de Inicio
Existen algunas medidas que se deben tomar como precaución para proteger el Disco de Inicio.
Protegerlo contra escritura: lo que permitirá que ningún virus pueda infectarlo, ni que sea sobreescrito por error. Para ello, debe desplazar la ranura que se encuentra en una de las esquinas de la cara posterior del disco. Esta ranura debe encontrarse abierta para que el disco se encuentre protegido.
Etiquetarlo adecuadamente: completamente necesario para tenerlo siempre a mano en caso de necesitarlo.
Recuerde que es muy poco el tiempo dedicado a generar el Disco de Inicio comparado con el invertido en volver a configurar su máquina por completo
Un Disco de inicio es un disco Flexible(disquete) que contiene aquellos archivos y programas necesarios para iniciar la PC en caso de problemas. Es recomendado que sea de 1.44 Mb de capacidad y de Alta densidad para que no sea inicio utilizar más de uno.
Su utilidad, en cuanto a los virus informáticos se refiere, es importantísima, dado que al usarlo para arrancar el equipo se inhabilita cualquier virus o código malicioso que se encuentre alojado en el Sector Maestro de Arranque (MBR) del disco rígido, ya que poseen su propio sector de arranque. Esto permite que aquellos virus con capacidad de volverse residentes infectando el MBR, no logren ejecutarse en ese inicio en particular, dejando que el antivirus tenga la posibilidad de eliminar los virus instalados en ese sector del disco
A muchos de los que leen este documento puede haberles sucedido que su antivirus detectara un virus, pero no pudiera eliminarlo. Este problema se origina debido a que el virus detectado es residente, es decir, se encuentra activo en memoria. Al inhabilitar la carga del virus en memoria mediante el disco de inicio, el antivirus es capaz de eliminarlo y desinfectar el equipo.
Creación del Disco de Inicio
Existen varias formas de crear un disco de inicio para DOS, Windows 3.1x, 95 y 98. Aquí repasaremos todas, para que el usuario elija cual es la más conveniente para él. El requisito para esto es tener un disco vacío y libre de virus en la disquetera.
En PC´s con DOS o Windows 3.1x como sistema operativo, la única forma de crear un disco de inicio, es ejecutando el comando SYS desde la interfaz de comandos (PROMPT). Para ello, deben ejecutar lo siguiente:
C:>SYS A:
NOTA: C:> es el símbolo de la interfaz de comandos; A: es la unidad de la disquetera donde se introdujo el disco.
Otra opción es formateando el disco, la cual es la más segura. Para ello debe ejecutarse el siguiente comando:
C:>FORMAT A: /s
Esto eliminará toda la información en el disco y le copiará los archivos y programas necesarios para iniciar el equipo.
En PC’s con Windows 95/98/2000/Me/XP, pueden utilizarse los pasos antes mencionados, desde la interfaz de comandos MS-DOS, a la cual se puede acceder desde el icono MS-DOS en Inicio/Programas, o ejecutando el archivo command.com desde Inicio/Ejecutar...
Otra opción es utilizar la función de creación de Disco de Inicio que viene con estas versiones del sistema operativo de Microsoft. Para ello, es necesario seguir estos pasos:
Para Windows 95/98
Abrir el Panel de Control desde Inicio/Configuración
Ejecutar el icono Agregar/Quitar Programas...
Dentro de la ventana que se abre al utilizar esta opción, acceder a la ficha que dice “Disco de Inicio”. Esto abrirá un asistente que le indicará todos los pasos para la generación del Disco de Inicio.
Para Windows XP
Abrir Mi Pc
Colocar el ratón sobre la unidad A y pulsar el botón derecho
Seleccionar en el menú que nos sale la opción "Formatear" (tener disquete insertado o nos lo pedirá)
Nos saldrá la ventana para formatear, activamos la casilla "crear disco de inicio de MS-DOS"
Pulsamos 'Iniciar' y creará el Disco de Inicio.
Protección del Disco de Inicio
Existen algunas medidas que se deben tomar como precaución para proteger el Disco de Inicio.
Protegerlo contra escritura: lo que permitirá que ningún virus pueda infectarlo, ni que sea sobreescrito por error. Para ello, debe desplazar la ranura que se encuentra en una de las esquinas de la cara posterior del disco. Esta ranura debe encontrarse abierta para que el disco se encuentre protegido.
Etiquetarlo adecuadamente: completamente necesario para tenerlo siempre a mano en caso de necesitarlo.
Recuerde que es muy poco el tiempo dedicado a generar el Disco de Inicio comparado con el invertido en volver a configurar su máquina por completo
Edición del registro
El Registro de Windows es una base de datos jeráquica (en contraposición a una relacional) formado por un conjunto de archivos, y que contiene información acerca de cómo funciona su computadora. El mismo puede ser accedido o modificado ejecutando el Editor del Registro (regedit.exe) que viene con todas las versiones de Windows. Es una parte del sistema operativo muy potente y crítica. Por una parte permite modificar muchos comportamientos de Windows, pero por otra puede causar problemas muy graves en la ejecución del sistema operativo si se modifican de forma incorrecta alguna de las entradas vitales.
Los virus atacan normalmente el Registro de Windows, para realizar modificaciones o para agregar entradas que les permitan ejecutarse cada vez que el equipo se inicie. Veamos un ejemplo de borrado de una entrada del registro:
Clave: My Computer\HKEY_LOCAL_MACHINE\
SOFTWARE\Microsoft Windows\CurrentVersion\Run
Valor: WinVNC = "C:\Archivos de Programa\RealVNC\winvnc.exe"
Esta clave es muy utilizada por los virus, dado que todas las entradas creadas dentro de ella se utilizan para ejecutar programas automáticamente en el próximo y siguientes inicios del sistema operativo.
Nótese que el registro está organizado en claves (que aparecen como carpetas en el panel izquierdo del Editor del Registro), las cuales contienen valores, que aparecen en el panel derecho. Los valores pueden ser de varios tipos (cadena, numéricos, binarios). Mientras no se especifique son cadenas. Editar el registro
1. Ejecute el editor de registro: Haga clic en Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run
3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre (pulsano la tecla "Supr") o modifique (haciendo doble clic) la entrada deseada.
La ventana del editor del registro tiene este aspecto:
Los virus atacan normalmente el Registro de Windows, para realizar modificaciones o para agregar entradas que les permitan ejecutarse cada vez que el equipo se inicie. Veamos un ejemplo de borrado de una entrada del registro:
Clave: My Computer\HKEY_LOCAL_MACHINE\
SOFTWARE\Microsoft Windows\CurrentVersion\Run
Valor: WinVNC = "C:\Archivos de Programa\RealVNC\winvnc.exe"
Esta clave es muy utilizada por los virus, dado que todas las entradas creadas dentro de ella se utilizan para ejecutar programas automáticamente en el próximo y siguientes inicios del sistema operativo.
Nótese que el registro está organizado en claves (que aparecen como carpetas en el panel izquierdo del Editor del Registro), las cuales contienen valores, que aparecen en el panel derecho. Los valores pueden ser de varios tipos (cadena, numéricos, binarios). Mientras no se especifique son cadenas. Editar el registro
1. Ejecute el editor de registro: Haga clic en Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run
3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre (pulsano la tecla "Supr") o modifique (haciendo doble clic) la entrada deseada.
La ventana del editor del registro tiene este aspecto:
Es una buena idea hacer una copia de seguridad del registro antes de modificarlo. Para más información, acuda a la ayuda en línea del Editor del Registro
Virus VBS y Scripting Host
1 - Habilitar la opción para poder ver las extensiones verdaderas de los archivos.
Recordemos la forma en que por lo general este tipo de virus intenta ocultar su extensión. Los .VBS son ejecutables de Visual Basic Script. Al ser su extensión .TXT.VBS por ejemplo, la extensión .VBS quedará oculta por lo general, y por lo tanto aparentará ser un archivo de texto: .TXT, haciéndonos pensar tal vez en su inocencia.
Para comprobar la verdadera extensión que tiene el fichero, le aconsejo que marque la opción de mostrar ficheros y archivos ocultos, para ello siga los pasos que se le indica en el artículo de Mostrar archivos ocultos.
2 - Deshabilitar el Windows Scripting Host en nuestro PC.
Como hemos mencionado, este tipo de virus es incapaz de ejecutarse si deshabilitamos las opciones de Windows Scripting Host de nuestro PC.
El Windows Scripting Host (WSH), es un interprete de Java Script y de Visual Basic Script, y puede ayudar a automatizar varias tareas dentro de Windows, pero también puede ser explotado por virus del tipo VBS. Está instalado por defecto en Windows 98 y posteriores, no así en Windows 95, donde deberá ser instalado de querer usarse.
Probablemente un usuario común no requiera de estas tareas, ya que estas posibilidades suelen ser usadas solamente por usuarios avanzados o expertos.
WSH agrega funcionalidades similares a la ejecución por lotes del MS-DOS (.BAT), pero bajo el entorno Windows, bajo línea de comandos.
Windows Scripting Host habilita la ejecución de scripts (guiones o archivos del tipo de proceso por lotes), directamente desde el escritorio de Windows o desde la línea de comandos, sin la necesidad de incluir estos scripts en un documento HTML. Los scripts pueden ser ejecutados directamente desde el escritorio haciendo clic sobre un archivo, o por medio de una consola de comandos. Además, WSH provee un host con un consumo mínimo de memoria, ideal para procesos no interactivos, tales como control de acceso, control administrativo, y cualquier otra tarea que requiera una serie de comandos para ser ejecutado. Los conocedores del DOS, encontrarán bastantes similitudes a lo que se podía hacer con un .BAT.
Windows Scripting Host requiere un máquina ActiveX de scripts instalada, tal como la que provee el Internet Explorer.
Para desactivar el Windows Scripting Host de su escritorio, proceda de alguna de las siguientes maneras:
a. En Windows 95 y 98 (Manual)
Desde el Panel de Control (Mi PC, Panel de Control), Agregar o quitar programas, Instalación de Windows, Accesorios, pinche en Detalles, y desmarque "Windows Scripting Host". Reinicie su PC.
b. En todas las versiones de Windows 95, 98, Me (Automático)
Con la excepción de algunas versiones de Windows 98, el Windows Scripting Host puede estar instalado en su computadora, pero no ser mostrado en "Quitar o agregar programas" del panel de control, como vimos en el punto (a).
Existe un programa de Symantec (Norton) que lo hace en forma automática, modificando el registro. Este programa no solo funciona en Windows Me, sino que también puede ser ejecutado en Windows 95/98/NT4 y 2000. Su nombre es NOSCRIPT.EXE (127 Kb) y puede bajarse de aquí (es gratuito).
Al ejecutarse NOSCRIPT, el mismo cambia las siguientes ramas del registro:
HKEY_CLASSES_ROOTJSFile
HKEY_CLASSES_ROOTVBSFile
HKEY_CLASSES_ROOTWSHFile
HKEY_LOCAL_MACHINESoftwareCLASSESVBSFile
HKEY_LOCAL_MACHINESoftwareCLASSESWSHFile
HKEY_LOCAL_MACHINESoftwareCLASSESJSFile
y las convierte en:
HKEY_CLASSES_ROOTJSFile.SymantecDisabled
HKEY_CLASSES_ROOTVBSFile.SymantecDisabled
HKEY_CLASSES_ROOTWSHFile.SymantecDisabled
HKEY_LOCAL_MACHINESoftwareCLASSESVBSFile.SymantecDisabled
HKEY_LOCAL_MACHINESoftwareCLASSESWSHFile.SymantecDisabled
HKEY_LOCAL_MACHINESoftwareCLASSESJSFile.SymantecDisabled
Esto impide que los archivos .JS, .VBS y .WSH se ejecuten al pinchar sobre ellos, o al ser llamados por otros programas, o que se autoejecuten de estar en determinadas carpetas de inicio.
Si ejecutamos NOSCRIPT nuevamente, el registro volverá a quedar como estaba antes. Este programa funciona en todas las versiones con Windows Scripting Host instalado.
c. En todas las versiones de Windows 95, 98, Me, 2000, NT, XP (Manual)
En todas las versiones de Windows (95, 98 y Me), el WSH también puede ser quitado eliminando un archivo ejecutable (si no desea o no puede usar alguna de las formas anteriores).
Para ello, desde Inicio, Buscar, Archivos o carpetas, busque en la unidad C: (Buscar en: C: o Buscar en: Discos duros locales), el archivo WSCRIPT.EXE.
Si lo encuentra, pulse sobre él con el botón derecho y seleccione "Cambiar nombre". Modifíquelo por ejemplo, como WSCRIPT.BAK. Esto lo permitirá volver a recuperarlo fácilmente si lo desea (buscando WSCRIPT.BAK y renombrándolo como WSCRIPT.EXE).
Nota: En algunas versiones, este archivo puede aparecer en dos lugares diferentes, renombre los dos.
Tenga en cuenta que cuando requiera abrir un archivo .VBS (o .WSH, .JSE, .VBE, .WSF o .JS), Windows mostrará un mensaje de error, ignórelo.
Recordemos la forma en que por lo general este tipo de virus intenta ocultar su extensión. Los .VBS son ejecutables de Visual Basic Script. Al ser su extensión .TXT.VBS por ejemplo, la extensión .VBS quedará oculta por lo general, y por lo tanto aparentará ser un archivo de texto: .TXT, haciéndonos pensar tal vez en su inocencia.
Para comprobar la verdadera extensión que tiene el fichero, le aconsejo que marque la opción de mostrar ficheros y archivos ocultos, para ello siga los pasos que se le indica en el artículo de Mostrar archivos ocultos.
2 - Deshabilitar el Windows Scripting Host en nuestro PC.
Como hemos mencionado, este tipo de virus es incapaz de ejecutarse si deshabilitamos las opciones de Windows Scripting Host de nuestro PC.
El Windows Scripting Host (WSH), es un interprete de Java Script y de Visual Basic Script, y puede ayudar a automatizar varias tareas dentro de Windows, pero también puede ser explotado por virus del tipo VBS. Está instalado por defecto en Windows 98 y posteriores, no así en Windows 95, donde deberá ser instalado de querer usarse.
Probablemente un usuario común no requiera de estas tareas, ya que estas posibilidades suelen ser usadas solamente por usuarios avanzados o expertos.
WSH agrega funcionalidades similares a la ejecución por lotes del MS-DOS (.BAT), pero bajo el entorno Windows, bajo línea de comandos.
Windows Scripting Host habilita la ejecución de scripts (guiones o archivos del tipo de proceso por lotes), directamente desde el escritorio de Windows o desde la línea de comandos, sin la necesidad de incluir estos scripts en un documento HTML. Los scripts pueden ser ejecutados directamente desde el escritorio haciendo clic sobre un archivo, o por medio de una consola de comandos. Además, WSH provee un host con un consumo mínimo de memoria, ideal para procesos no interactivos, tales como control de acceso, control administrativo, y cualquier otra tarea que requiera una serie de comandos para ser ejecutado. Los conocedores del DOS, encontrarán bastantes similitudes a lo que se podía hacer con un .BAT.
Windows Scripting Host requiere un máquina ActiveX de scripts instalada, tal como la que provee el Internet Explorer.
Para desactivar el Windows Scripting Host de su escritorio, proceda de alguna de las siguientes maneras:
a. En Windows 95 y 98 (Manual)
Desde el Panel de Control (Mi PC, Panel de Control), Agregar o quitar programas, Instalación de Windows, Accesorios, pinche en Detalles, y desmarque "Windows Scripting Host". Reinicie su PC.
b. En todas las versiones de Windows 95, 98, Me (Automático)
Con la excepción de algunas versiones de Windows 98, el Windows Scripting Host puede estar instalado en su computadora, pero no ser mostrado en "Quitar o agregar programas" del panel de control, como vimos en el punto (a).
Existe un programa de Symantec (Norton) que lo hace en forma automática, modificando el registro. Este programa no solo funciona en Windows Me, sino que también puede ser ejecutado en Windows 95/98/NT4 y 2000. Su nombre es NOSCRIPT.EXE (127 Kb) y puede bajarse de aquí (es gratuito).
Al ejecutarse NOSCRIPT, el mismo cambia las siguientes ramas del registro:
HKEY_CLASSES_ROOTJSFile
HKEY_CLASSES_ROOTVBSFile
HKEY_CLASSES_ROOTWSHFile
HKEY_LOCAL_MACHINESoftwareCLASSESVBSFile
HKEY_LOCAL_MACHINESoftwareCLASSESWSHFile
HKEY_LOCAL_MACHINESoftwareCLASSESJSFile
y las convierte en:
HKEY_CLASSES_ROOTJSFile.SymantecDisabled
HKEY_CLASSES_ROOTVBSFile.SymantecDisabled
HKEY_CLASSES_ROOTWSHFile.SymantecDisabled
HKEY_LOCAL_MACHINESoftwareCLASSESVBSFile.SymantecDisabled
HKEY_LOCAL_MACHINESoftwareCLASSESWSHFile.SymantecDisabled
HKEY_LOCAL_MACHINESoftwareCLASSESJSFile.SymantecDisabled
Esto impide que los archivos .JS, .VBS y .WSH se ejecuten al pinchar sobre ellos, o al ser llamados por otros programas, o que se autoejecuten de estar en determinadas carpetas de inicio.
Si ejecutamos NOSCRIPT nuevamente, el registro volverá a quedar como estaba antes. Este programa funciona en todas las versiones con Windows Scripting Host instalado.
c. En todas las versiones de Windows 95, 98, Me, 2000, NT, XP (Manual)
En todas las versiones de Windows (95, 98 y Me), el WSH también puede ser quitado eliminando un archivo ejecutable (si no desea o no puede usar alguna de las formas anteriores).
Para ello, desde Inicio, Buscar, Archivos o carpetas, busque en la unidad C: (Buscar en: C: o Buscar en: Discos duros locales), el archivo WSCRIPT.EXE.
Si lo encuentra, pulse sobre él con el botón derecho y seleccione "Cambiar nombre". Modifíquelo por ejemplo, como WSCRIPT.BAK. Esto lo permitirá volver a recuperarlo fácilmente si lo desea (buscando WSCRIPT.BAK y renombrándolo como WSCRIPT.EXE).
Nota: En algunas versiones, este archivo puede aparecer en dos lugares diferentes, renombre los dos.
Tenga en cuenta que cuando requiera abrir un archivo .VBS (o .WSH, .JSE, .VBE, .WSF o .JS), Windows mostrará un mensaje de error, ignórelo.
Deshabilitar restauración del sistema en Vista, XP y Me
A continuación le indicamos cómo puede deshabilitar la opción de “Restaurar sistema” dependiendo del sistema operativo que tenga instalado: Windows Me, XP o Vista. Al tener esta opción activa se realiza un respaldo automático de los archivos esenciales del sistema para poder restituirlos ante cualquier modificación crítica. Sin embargo, algunos virus, por copiarse en ciertas carpetas o ubicaciones especiales, también son "respaldados", causando problemas a los antivirus al intentar eliminarlos. Por ello es necesario deshabilitar la Restauración del Sistema para llevar a cabo la eliminación de virus y, a continuación, analizar su sistema con un programa antivirus en "Modo a prueba de fallos" (o como se indica más adelante).
Windows Vista
En el panel de Inicio pulse sobre Panel de control.
Vaya a: Sistema y mantenimiento > Sistema
En el panel de la izquierda seleccione "Protección del sistema"
En "Puntos de restauración automática" desactive todas las casillas (cada una se corresponde con un disco duro del sistema).
Pulse en "Aceptar".
Windows XP
En el panel de Inicio pulse sobre Mi PC
Haga clic en "Ver información del sistema"
Seleccione la etiqueta "Restaurar sistema"
Marque la casilla "Desactivar Restaurar sistema en todas las unidades" y pulse en "Aplicar".
El sistema le preguntará si está seguro de querer deshabilitarlo. Confírmelo pulsando en SÍ.
La opción que muestra el estado de los discos en la ventana "Configuración de la unidad" aparecerá deshabilitada (todo gris). Pulse en el botón Aceptar.
Windows Me
Pulse con el botón derecho sobre el icono Mi PC del escritorio.
Seleccione la pestaña de "Rendimiento".
Pinche en el botón "Sistema de archivos" detro de "Configuración avanzada".
Seleccione la pestaña "Solución de problemas".
Marque la casilla "Deshabilitar Restaurar sistema".
Pinche en el botón "Aplicar".
Pulse el botón "Cerrar" de Propiedades de Sistema de archivos.
Pulse el botón "Cerrar" de Propiedades de Sistema.
Cuando se le pregunte si desea reiniciar el sistema conteste que SÍ.
De este modo la utilidad "Restaurar sistema" quedará deshabilitada.
Reinicie el ordenador en "Modo a prueba de fallos" , y proceda a analizarlo con uno o varios antivirus actualizados.
Para volver a habilitar la opción de “Restaurar el sistema” siga el proceso inverso al indicado anteriormente.
Windows Vista
En el panel de Inicio pulse sobre Panel de control.
Vaya a: Sistema y mantenimiento > Sistema
En el panel de la izquierda seleccione "Protección del sistema"
En "Puntos de restauración automática" desactive todas las casillas (cada una se corresponde con un disco duro del sistema).
Pulse en "Aceptar".
Windows XP
En el panel de Inicio pulse sobre Mi PC
Haga clic en "Ver información del sistema"
Seleccione la etiqueta "Restaurar sistema"
Marque la casilla "Desactivar Restaurar sistema en todas las unidades" y pulse en "Aplicar".
El sistema le preguntará si está seguro de querer deshabilitarlo. Confírmelo pulsando en SÍ.
La opción que muestra el estado de los discos en la ventana "Configuración de la unidad" aparecerá deshabilitada (todo gris). Pulse en el botón Aceptar.
Windows Me
Pulse con el botón derecho sobre el icono Mi PC del escritorio.
Seleccione la pestaña de "Rendimiento".
Pinche en el botón "Sistema de archivos" detro de "Configuración avanzada".
Seleccione la pestaña "Solución de problemas".
Marque la casilla "Deshabilitar Restaurar sistema".
Pinche en el botón "Aplicar".
Pulse el botón "Cerrar" de Propiedades de Sistema de archivos.
Pulse el botón "Cerrar" de Propiedades de Sistema.
Cuando se le pregunte si desea reiniciar el sistema conteste que SÍ.
De este modo la utilidad "Restaurar sistema" quedará deshabilitada.
Reinicie el ordenador en "Modo a prueba de fallos" , y proceda a analizarlo con uno o varios antivirus actualizados.
Para volver a habilitar la opción de “Restaurar el sistema” siga el proceso inverso al indicado anteriormente.
Cómo iniciar su computadora en Modo a prueba de fallos
En algunas ocasiones, usted deberá iniciar su computadora en modo a prueba de fallos, para resolver algún problema puntual, o para ejecutar un antivirus o borrar manualmente algún virus. En el modo a prueba de fallos, Windows carga los archivos de inicio mínimos, de forma que los mecanismos de la mayoría de los virus para engancharse al inicio de Windows no funcionarán. De acuerdo a su sistema operativo, estas son las acciones a llevar a cabo:
Windows Vista/XP/2000.
Presione la tecla F8 después de los mensajes de autodiagnóstico (POST) de la placa base. Dependiendo de la configuración puede que aparezca el mensaje "presione F8 para menú de inicio" durante una pausa de 2 segundos. En caso contrario, presione F8 repetidadmente mientras arranca el PC hasta que aparezca el menú de inicio, y elija "Modo seguro" o "Modo a prueba de fallos".
Windows Me/98
Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter. Aparecerá el Programa de configuración del sistema.
En la lengüeta "General", pinche en el botón [ Avanzado ].
En Configuración marque la casilla "Activar Menú de inicio"
Confirme los cambios y reinicie su computadora. Recuerde que debe apagarla físicamente, durante por lo menos 30 segundos.
Al aparecer el Menú de Inicio bajo MS-DOS seleccione "Modo a prueba de fallos" y pulse Enter.
Para volver a la normalidad el sistema, reitere los pasos 1 a 3, pero en ese punto, desmarque la opción "Activar Menú de inicio". Luego confirme los cambios, y reinicie su computadora.
Windows 95
Salga de todos los programas
Seleccione Inicio, Apagar el sistema.
Apague la computadora, y aguarde 30 segundos (no use el botón RESET, usted debe apagar su PC para borrar cualquier posible virus en memoria).
Encienda su PC.
Cuando aparezca la leyenda "Iniciando Windows 95...", pulse F8. Debería salir el menú de inicio de Windows.
Seleccione "Modo a prueba de fallos" o similar, y Windows debería arrancar en este modo.
Windows Vista/XP/2000.
Presione la tecla F8 después de los mensajes de autodiagnóstico (POST) de la placa base. Dependiendo de la configuración puede que aparezca el mensaje "presione F8 para menú de inicio" durante una pausa de 2 segundos. En caso contrario, presione F8 repetidadmente mientras arranca el PC hasta que aparezca el menú de inicio, y elija "Modo seguro" o "Modo a prueba de fallos".
Windows Me/98
Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter. Aparecerá el Programa de configuración del sistema.
En la lengüeta "General", pinche en el botón [ Avanzado ].
En Configuración marque la casilla "Activar Menú de inicio"
Confirme los cambios y reinicie su computadora. Recuerde que debe apagarla físicamente, durante por lo menos 30 segundos.
Al aparecer el Menú de Inicio bajo MS-DOS seleccione "Modo a prueba de fallos" y pulse Enter.
Para volver a la normalidad el sistema, reitere los pasos 1 a 3, pero en ese punto, desmarque la opción "Activar Menú de inicio". Luego confirme los cambios, y reinicie su computadora.
Windows 95
Salga de todos los programas
Seleccione Inicio, Apagar el sistema.
Apague la computadora, y aguarde 30 segundos (no use el botón RESET, usted debe apagar su PC para borrar cualquier posible virus en memoria).
Encienda su PC.
Cuando aparezca la leyenda "Iniciando Windows 95...", pulse F8. Debería salir el menú de inicio de Windows.
Seleccione "Modo a prueba de fallos" o similar, y Windows debería arrancar en este modo.
Suscribirse a:
Entradas (Atom)