¿Donde se aloja un Virus o Troyano?
Posted on viernes, mayo 07, 2010 by Puzzle
Pienso que todos deberiamos de tener un poco de conocimiento hacia este tema.. Ya que la privacidad y la seguridad informatica de hoy en dia es meramente discutible. Y es que AHORA mismo podria programar un troyano y propagarlo y NINGUN antivirus lo conocera y mucho menos lo detectara y eliminara!! Asi de facil es el mundo del pirateo informatico hoy en dia..
Si te preguntas en estos momentos, acaso puedo estar infectado con algun virus o troyano teniendo mi super nod32 registrado y actualizado?¡ teniendo mi avast?¡ pasandole el kaspersky..
La respuesta es .. SI..
En estos momentos incluso podrias ser un zombi!! Y hasta podrias estar sirviendo como mensajero de algun spammer.. SI, estas enviando mails de spam sin darte cuenta!!
Nunca os ha pasado que MUCHOS de vuestros contactos del msn te envian aquellos mensajes en plan: "MIRA QUIEN TE ELIMINO DE TU MSN", "ALGUIEN TE HA ELIMINADO", "PRUEBA NUESTRO NUEVO ......"
La triste realidad es que la mayoria de las vecez no son estas personas las que envian esto!! Sino virus y troyanos que se auto propagan!! LOSE =) Yo mismo he contaminado de este modo =)
Pues ahora para uso educativo, os voy a enseñar algunas de las rutas donde suelen alojarse la mayoria de las vecez estos Virus y Troyanos!!!
El INICIO: Carpeta que se halla ubicada en el menu de programas (Inicio->Programas->Inicio)
Para los spywares modernos, troyanos, y demás intrusos, este lugar seria demasiado obvio para inmiscuirse en el sistema, pero nunca faltan las molestas ventanas de splash que algún programa recientemente instalado nos coloca en ese lugar recordando que nos registremos, o que les compremos una camiseta de la empresa con el logo de una ventanita..
Esta poderosa herramienta puede encontrarse en casi cualquier sistema operativo Windows, y lo accedemos yendo a:
( Menu INICIO-> Ejecutar -> msconfig )
Bien, en la que dice INICIO esta la lista de programas y ejecutables que se cargan al iniciar el sistema, con lo cual un simple tilde nos permite quitarlo sin borrarlo (por las dudas, no?)
En WinXP hay otra solapa interesante llamada Servicios, que nos permite tildar o destildar los servicios que inicia el sistema, recuerden que muchos programas no solo requieren un ejecutable, sino tambien un servicio que se inicie con el propio sistema operativo y este activo todo el tiempo aunque el programa no se utilice (léase Antivirus, Drivers para modo promiscuo de las placas de red, etc).
Por supuesto que muchos de los ejecutables que aparecen ahi tambien estan en el registro del Windows, pero toquenlo con cuidado. Para accederlo escriben en:
INICIO -> Ejecutar, la palabra regedit
y listo, ahí esta para ser toqueteado.
Bien, la llave que nos interesa a nosotros es
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
Ahí están las cosas que se ejecutan cuando arranca win, saquemos las que no nos sirven. Muchas veces cuando nos ataca un virus puede estar acá adentro entre otras cosas.
Claramente podemos encontrar en el mismo MSCONFIG o editando directamente el archivo WIN.INI la posibilidad de agregar cosas al inicio, poniendo (o sacando en este caso) una linea en este archivo contenido en la carpeta c:\Windows (normalmente) que diga por ejemplo c:\ejecutable.exe
El ultimo método que veremos consiste en agregar un ejecutable como parámetro del explorer, en la sección BOOT del archivo system.ini de la siguiente manera:
SHELL=explorer.exe ejecutable.exe
Otro lugar donde se pueden alojar los ejecutables es en la key del registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\ open\command] cambiando el valor "%1" %* por ejecutable.exe. Desconocido lugar, pero interesante, ya que indica que cada vez que se ejecute un EXE en el sistema, se estará ejecutando el ejecutable.exe.
Recuerden que con este análisis podemos deducir los posibles lugares en los que el sistema operativo almacena lo que en estricto rigor se ejecuta al iniciar nuestra sesión.
Una herramienta MUY UTIL a la hora de pillar malwares y eliminarlos manual mente es: HijackThis esta herramienta no debemos confundirla con un ANTI-virus o ANTI-malwares, ya que no elimina nada!! Solo te muestra un log detallado de lo que seria EL HOGAR de el virus y/o troyano que se hospeda en tu ordenador!!
HijackThis es quizas mas poderoso que cualquier antivirus en buenas manos!!!
Aconsejo tenerlo siempre en nuesro repertorio y a la hora de una duda, PASARLO (no dura mas de 15segundos) y guardar el LOG de nuestro sistema asi podemos publicarlo en algun foro sobre ayuda para recibir mejor asistencia, mas detallada y concreta!!!
0 comentarios:
Publicar un comentario