lunes, 3 de noviembre de 2008

Virus Usb Guia Rapida

Hay tantos casos de reinicidencia de muchos virus transmitidos por memorias USB que he decidido publicar unos Tips muy poderosos que te ayudarán a evitar contaminar tu PC con los molestosos virus de las Memorias USB.

la realidad de las cosas:
**1. Las memorias USB son 100% inseguras, conste que no digo con esto que ya no debamos usar memorias USB, sino me refiero a que su propia estructura las hace inseguras, osea la característica de Autoejecución o Autorun - si bien en un momento fue útil o en algunos casos aún lo es - ES LA CULPABLE de la mayoría de infecciones de PC’s a través de memorias USB.
**2. Como una vez dije: Autorun es la habilidad de varios sistemas operativos para que se lleve a cabo una acción al insertar un medio removible como un CD, DVD o memorias USB. Como pueden ver, algunos programadores de estos virus APROVECHAN la característica del AutoRun para que se ejecuten sus temibles creaciones.
**3. El uso de memorias USB ha desencadenado una PROMISCUIDAD enorme, ya que la usamos para casi todo, conectando a las pobres a cualquier computadora para subir o bajar información.

Sabiendo esto, yo estoy seguro que NUNCA dejarás de infectar tu memoria USB porque puede que en algún momento la conectes en alguna máquina infectada y la máquina infectada infectará tu memoria.

Pero con esta GUÍA 100% probada llego a la conclusión de que no importa si infectas tu memoria USB un millón de veces, TU MEMORIA USB NO TIENE PORQUÉ INFECTAR NECESARIAMENTE TU COMPUTADORA .
Cómo ??? Ya verás.


En la cadena de la Seguridad Informática, el eslabón más débil somos nosotros: LOS USUARIOS, ya que la mayoria de software malicioso necesita algún tipo de interacción por parte de nosotros, ya sea abriendo una página web sospechosa, abriendo “fotos” vía msn, abriendo un correo de alguien desconocido, buscando cracks de programas en páginas que posiblemente contengan exploits para nuestro navegador, pasando cadenas de correos (exponiendo direcciones de contactos), bajando programas piratas, bajando parches para eliminación de restricciones en software de pruebas, y EJECUTANDO VIRUS DESDE NUESTRAS MEMORIAS USB muchas veces sin darnos cuenta.

Entonces, empecemos asegurándo nuestra Privacidad e Integridad desde la zona más alta: EL INTERNET :

1. Si usas Internet Explorer, usa la versión 7 y mantenlo actualizado. (Personalmente yo no lo uso).
2. Usa un navegador alternativo como Mozilla Firefox u Opera. (Yo uso Firefox)
3. Mantén tu antivirus acualizado.
4. NO aceptes “Fotos” vía MSN, existen virus que autoenvían mensajes vía messenger haciendo creer que alguien de nuestros contactos nos está enviando fotos de paseo, etc.. Pregunta primero al contacto si es que te está enviando algo.
Las siguientes imágenes muestran casos típicos de máquinas infectadas en las que EL VIRUS ENVIA MENSAJES por msn haciendo creer que TU contacto está enviándote fotos:

Supongamos que aceptaste estas supuestas “FOTOS”, aún así no hay necesidad de que te infectes. Aún puedes darte cuenta que es un virus.
*La siguiente imagen muestra el archivo “foto” recibido y abierto con el Winzip y se ve así:
click en foto agrandar
Pero ahora veamos, expandamos la vista para ver el nombre de la supuesta foto y veremos que el nombre de la supuesta foto termina en .COM.
click en foto Agrandar
los archivos de fotos tienen extensiones: jpeg, jpg, bmp, png, gif, tiff, pero nunca por nunca deberían terminar en .com, .exe, .cmd, .bat, .scr, .pif.
Así que este es un virus que intenta hacernos creer que es una foto, pero al ver su nombre completo, lo descubrimos.

**5. Jamás abras correos no solicitados ni de desconocidos, ni descargues archivos adjuntos de correos de desconocidos.
Las siguientes imágenes muestran correos no solicitados que despierta nuestra curiosidad pero que contienen enlaces a sitios que contienen Virus o Troyanos.


*6. No visites sitios de pornografía, cracks o seriales de programas.
*7. En lo posible trata de no buscar cracks o parches para demos de programas y menos aún ejecutarlos.
Si sigues estos pasos tienes un poco más del 50% de seguridad en tu máquina.
Ahora el 50% restante es muy importante, LA SEGURIDAD LOCAL:

1. Desactiva la Ejecución Automática en todas las Unidades. Para algunos es un poco fastidioso, pero si se pone en balanza: Unos segundos de diferencia para accesar al dispositivo por desactivar la Ejecución Automática frente a Exponer nuestro Equipo a quién sabe qué tipo de bichos, creo que todos preferimos no exponer nuestra seguridad. Para desactivar la ejecución automática, descarga este script.
NOTA: El script para desactivar la Ejecución Automática solicita Ingresar “1″ (Uno) para Activar la Ejecución Automática (Cosa que no recomiendo pero lo pongo para aquellos que decidan arriesgarse a su propio riesgo), o ingresar “0″ (Cero) para Deshabilitar la Ejecución Automática (100% recomendado por tonky)
( Descarga Desabilita Autorun)

**2. Si sueles transportar programas, Instaladores y/o Ejecutables, GUÁRDALOS en un archivo ZIP o RAR con contraseña, y cada que vez que quieras usarlos los descomprimes en la máquina en la que vas a ejecutar o instalar el ejecutable. Esto es debido a que existen a virus que infectan los archivos ejecutables e incluso algunos infectan los archivos dentro de los archivos ZIP o RAR, por eso poner contraseña a tus archivos ayudará a protegerte.

Virus tan temibles como HALMAN y SALITY, que infectan archivos ejecutables y programas y que muy dificilmente se pueden restaurar y en la mayoría de casos es preferible FORMATEAR, REINSTALAR y conseguir de nuevo los programas y/o Ejecutables desde una fuente confiable o un Backup Previo a la Infección.Esta es la forma Incorrecta e Insegura de guardar Ejecutables o Programas.

Y esta es la forma Correcta y Segura de transportar Ejecutables y Programas en tu Memoria USB

NOTA: Lo ideal sería tener incluso los archivos de Documentos Word, Excel, Etc, también en Archivos ZIP o RAR con contraseña para evitar los virus de Macros. Es poco probable, pero también sucede.
3. Muchos usuarios EJECUTAN los virus de sus memorias USB en sus computadoras sin darse cuenta, esto se debe al archivo autorun.Si eres de los que solían o suelen Explorar los archivos de su Memoria USB haciendo doble click en MiPC y luego en los íconos de los drives (Unidades) de los cuadros Enmarcados en Rojo, estoy más que seguro que más de UNA VEZ has tenido problemas con estos virus de memorias USB en tu máquina.Esto se debe a que esta forma de visualización, Ejecuta los archivos Autorun.inf. Y si tienes la mala suerte que tus Memorias USB tengas estos archivos, ya sabrás porqué es que te reinfectas a cada momento.La forma Incorrecta e Insegura de Explorar los archivos de una memoria (DEMASIADO COMÚN Y CULPABLE DEL 70% de INFECCIONES) es así.

Lo más gracioso y colosal es la siguiente situación:- Supongamos que te infectaste con el Virus AMVO, y este virus como ya una vez dije: Infecta todas las Unidades del Computador, colocando el archivo Autorun.inf y el ejecutable del virus en la raíz de cada Unidad, osea :
* En C: (Unidad de Sistema) crea el autorun.inf y el ejecutable del virus.
* En D: (Unidad de Datos) crea el autorun.inf y el ejecutable del virus.
* En E: (Unidad de Más Datos) crea el autorun.inf y el ejecutable del virus.
* En F: (Unidad de Más Datos) crea el autorun.inf y el ejecutable del virus.
* ETC, y así en todas las Unidades.

Entonces muchos han llegado a formatear la Unidad C: (Unidad de Sistema) y no limpiaron los archivos Autorun.inf de las demás Unidades, entonces, Al hacer click en MiPC y siguiendo la forma incorrecta de Explorar las Unidades: SE REINFECTAN DEL MISMO VIRUS!!!!!!!.

Llegando a creer que los virus de memorias USB SON INMORTALES, que tienen algún rencor contra su persona, que se ha metido en el hardware, que etc, etc.

Esta es la forma CORRECTA Y SEGURA DE EXPLORAR las memorias USB y las Unidades.

O lo equivalente es presionar las teclas “Windows + E”.
Y luego hacer click en los íconos de las Unidades del Panel de Izquierda como en las imágenes siguientes.

4. Ver las extensiones de los archivos o Diferenciar los ejecutables de los no Ejecutables.
Una extensión es un conjunto de caracteres anexada a un nombre de archivo, generalmente separada por un punto.
En la familia de Sistemas Operativos de Microsoft (Todos los Windows) se usa para reconocer su formato, o para determinar la Aplicación que abrirá el archivo.

Ejemplos de extensiones:
ARCHIVO.TXT = Archivo de texto ASCII “texto plano” (Se abre con bloc de notas)
ARCHIVO.RTF = Archivo de texto con formato (Se abre con Wordpad o Word)
ARCHIVO.DOC = Archivo de texto con formato de Microsoft Word (Se abre con Word)
ARCHIVO.DOC = Archivo de Documento de WORD. (Se abre con Word)
APLICACIÓN.XLS = Archivo de Hoja de Cálculo. (Se abre con Excel)
APLICACIÓN.BAT = Archivo de procesamiento por Lotes (Ejecutable)
APLICACIÓN.EXE = Programa Ejecutable

Entonces lo curioso es que en las Instalaciones de Windows, por defecto la Opción: Mostrar las extensiones de los archivos está DESHABILITADO y la mayoría de PC’s tienen una vista similar a esto.

NOTA: Para ver las extensiones de los archivos puedes ejecutar el siguiente script, el cual solicita el ingreso de un Numero: “0″( Cero ) Para ver las extensiones y “1″ ( Uno ) para no ver las extensiones.

Descarga Ver extenciones


Es muy probable que te estés preguntado ahora ¿Y PARA QUÉ ME SIRVE VER LAS EXTENSIONES DE LOS ARCHIVOS?

RESPUESTA:Cuántas veces no ha sucedido que muchas veces hemos encontrado archivos tales como “pamela.jpg”, “diapositiva.pps” en nuestras memorias USB o en nuestros correos, sin saber quién nos ha pasado esos archivos, y bueno creyendo que eran archivos de imagen(la extensión “jpeg” es para archivos de imágenes) o alguna diapositiva le hemos dado doble clic, bueno después vinieron los estragos pues en realidad eran virus. Entonces te preguntarás : ¿cómo nos podemos dar cuenta si un archivo jpeg, doc, jpg, etc es realmente un archivo del tipo que dicen ser, y no un virus?.

Pues, la respuesta es: La gran mayoria de virus usan extensiones de ejecutables tales como: .exe, .com, .vbs, .bat, cmd, pif, scr, etc ,(osea Ejecutables) pero cuando te lo envían o se copian(de una máquina infectada a una memoria USB tuya) no aparecen con las extensiones completas, sino que se ponen nombres como: “pamela.jpeg.exe”, “diapositiva.pps.vbs”.

Entonces el problema está en que Windows generalmente siempre oculta la primera extensión para los archivos, haciendo pues que: “pamela.jpeg.exe” se muestre como “pamela.jpeg”, y que “diapositiva.pps.vbs” se muestre como “diapositiva.pps”, e incluso que “documento.exe” se muestre como “documento”. Ya te habrás cuenta del terrible daño que esto puede ocasionar, especialmente sino tenemos ni idea de todo esto.
Entonces, pues he ahí la razón por las cuales muchas veces hemos ejecutado virus creyendo que eran documentos, imágenes, etc.
Así que recomiendo que veamos las extensiones de los archivos que tenemos para saber a qué nos atenemos.

NOTA: Un ejecutable es un programa que ejecuta alguna instrucción programada por alguien, y los virus al ser programados también son Ejecutables. TODOS LOS VIRUS SON EJECUTABLES y tienen extensiones de ejecutables: exe, com, bat, cmd, pif, scr, vbs, para que se ejecuten por interacción del usuario.
PERO NO TODOS LOS EJECUTABLES SON VIRUS! Yo digo que te pongas alerta si es que recibes o tienes un archivo con doble extension o que parezca una foto o una diapositiva pero con doble extensión o que parezca una foto o un archivo de word o excel pero su extensión termine en .COM, .EXE, .SCR, .PIF, .BAT, .BAT.

La siguiente imagen muestra las carpetas de la Unidad C. Cuando no está Activada la Opción de Ver las Extensiones. Fíjate bien en la “carpeta” llamada Darby:

Y ahora después de Habilitar Ver las Extensiones veamos cómo se ven los archivos y Carpetas

Si te das cuenta?? Es un virus que se parecía a una Carpeta!! Entonces ver las extensiones te ayudará a diferenciar los ejecutables de los que no lo son.

**5. Ver los archivos Ocultos y de Sistema:
Por defecto en una instalación de Windows La opción para ver los archivos Ocultos y de Sistema está deshabilitada, así que NO verás los archivos ocultos así nomás.
Veamos la siguiente imagen que muestra la Unidad C de una instalación por defecto.

Ahora para ver los Archivos Ocultos puedes usar el siguiente Script para Ver o No ver los archivos Ocultos.

El Script solicita que ingreses “1″(Uno) para Ver los archivos Ocultos o “0″ (Cero) para NO Ver los Archivos Ocultos.
Descarga Ver Archivos Ocultos

Después de Activar la Opción para Ver los Archivos Ocultos, mira cómo se ve ahora la Unidad C
Vamos Analizar la imagen
* La Carpeta Recycler siempre existe en cualquier Instalación de Windows, es en realidad la Papelera de Reciclaje, así que si la borras, volverá a aparecer una y otra vez. Es por eso que muchos creen que tiene el virus Recycler en su PC. Lo que pasa en realidad es que algunos virus se ocultan dentro de esta Carpeta Recycler. Viendo sus atributos, tiene atributos de H (Oculto) y S (Sistema).
* La Carpeta System Volume Information también con Atributos Oculto y de Sistema. Es una carpeta INDISPENSABLE DEL SISTEMA, contiene Los Puntos de Restauración del Sistema e Información Util para el Indexado y Copias de seguridad de archivos. Hay formas de deshabilitarlo, pero no es tema de este post por el momento.
* Los demás archivos en el cuadro Azul también son archivos Vitales del sistema y algunos tienen protección contra Escritura para que no sean modificados o borrados.

Describiré los más importantes:

*NTDETECT.COM -> Es usado al inicio del Sistema Operativo para detectar hardware básico que requerirá el Sistema Operativo. Luego llama al archivo NTLDR. Mucho cuidado con este archivo, si lo borras, tu computadora no iniciará. Hay virus que se ponen nombres similares para que se confunda: n1detect.com, ntdeIect.com, nIdetect.com, etc.

**NTLDR -> Es el cargador de inicio del Sistema Operativo o BootLoader, necesita del archivo NTLDR y del BOOT.INI.Tambien es un archivo VITAL, si lo borras también tendrás problemas.

**BOOT.INI -> Almacena los parámetros que serán pasados al Núcleo del sistema Operativo. También esta protegido.

**PAGEFILE.SYS -> Archivo de paginación de memoria del sistema.

Más de una vez es UTIL visualizar los archivos Ocultos y de Sistema debido a que a veces los virus se autoatribuyen características de archivos de Sistema y Ocultos para que no se los vea de manera normal.

Veamos la siguiente imagen, que es un caso típico de infección por virus de memorias USB.

Como puedes ver los 3 archivos sospechosos tienen atributos de Oculto(H), Sólo Lectura(R), Sistema (S). Y no son del Sistema Operativo, por lo tanto son Peligrosos.

NOTA: No todos los archivos Ocultos y de Sistema son Virus, creo que la definición es clara.
En el Caso de las Memorias USB: NO DEBEN HABER ARCHIVOS OCULTOS Y/O DE SISTEMA, POR ESO SIEMPRE ES RECOMENDABLE BORRAR TODOS LOS ARCHIVOS Y CARPETAS OCULTAS DE LAS MEMORIAS USB.

Señores, estos Tips simples son esenciales para el mayor funcionamiento de tu computador y estes al tanto de los virus por la herramienta Usb saludos y Espero sea de gran ayuda.










miércoles, 24 de septiembre de 2008

Eliminar Virus Recycler


Pasemos a la revisión que hice y al análisis del dichoso virus RECYCLER, Este virus tiene las siguientes características:

1. Se propaga por medio de unidades de almacenamiento USB e infecta las computadoras creando una carpeta Recycler y dentro de ella otra carpeta con nombre S-1-5-21-1482476501-1644491937-682003330-1013

y dentro de esta carpeta crea un archivo Desktop.ini el cual contiene una línea:
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
que hace referencia a la carpeta de la Papelera de Reciclaje, de modo que cuando el usuario intenta ver que hay en el contenido de esa carpeta siempre se abre la Papelera de Reciclaje ocultando de este modo los verdaderos archivos del virus que son: ise.exe, isee.exe. Esta es una forma muy interesante de ocultarse pues tiende a hacer creer que estamos “limpios”.
2. Una vez ejecutado el virus, se conecta a internet a la siguiente página: www.tassweq.com cuyo ip es 209.11.245.18. Por los paquetes en la transmisión me parece que fuera un servidor tipo servidor IRC al cual se conecta con un nombre de usuario al azar y con un password: trb123trb. Esto le permitía al atacante poder tomar el control de la computadora y envíar comandos diversos a la PC, es por eso que muchas de las víctima de este virus tienen problemas relacionados con cortes de internet, cuelgues inesperados, cerrado de ventanas, etc.

3. Su forma de autoejecutarse a cada inicio de Windows también. Si lo buscas en el MSCONFIG no lo encontrarás, lo que hace para autojecutarse es crear una entra en el registro en la siguiente ruta:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAX5-90401C608512}
StubPath = “C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe”
4. Crea un archivo autorun en todas la unidades ya sean físicas o removibles con el siguiente contenido:
[autorun]
open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe
shell\open\default=1
5. Para evitar su detección por medio del administrador de tareas y anulación de su procesos, inyecta su proceso al explorer.exe.

Eliminación manual:

1. Abrir una consola de comandos (cmd.exe)
2. Finalizar el proceso del explorador (explorer.exe):
taskkill /f /im explorer.exe
3. Tipear:
cd \Recycler
4. Quitar los atributos de la carpeta \S-1-5-21-1482476501-1644491937-682003330-1013\ con el comando:
attrib -h -r -s S-1-5-21-1482476501-1644491937-682003330-1013
5. Renombrar la carpeta, una forma bien simple de arruinarle los planes a este virus:
ren S-1-5-21-1482476501-1644491937-682003330-1013 aaaaaa
6. Abrir el explorador de windows tipeando en la consola:
explorer.exe.
7. Ir a la carpeta Recycler y veremos nuestra carpeta llamada aaaaaa . Accedemos a la carpeta y veremos el contenido: ise.exe, isee.exe y desktop.ini. Procedemos a eliminar esos archivos y limpiamos la ruta del registro mencionada arriba.

Se Procedio hacer un script que automatice el proceso. Para los que no quieren hacerlo manual con este script lo ejecutan y listo
Archivo matavirus Scrip



Nota: El matavirus Recycler lo he probado en 16 máquinas infectadas y en todas ha limpiado la infección, en algunos casos la carpeta Recycler no se ha eliminado, pero esto no significa que el equipo siga infectado. El mataRecycler limpia la infección. Si deseas puedes borrar manualmente ya las carpetas Recycler de C y tus memorias USB.
Tambien el Kasperky 2009 Lo elimina



Eliminar Virus MSCS.PIF, WUAUCLT.EXE

Al parecer este virus no viene solo, trae consigo otro virus de nombre WUAUCLT.exe el cual se da atributos de oculto aprovechándose de que no podemos ver los procesos que se inician por medio del MSCONFIG y el REGEDIT.
Además de impedir el acceso al regedit y al msconfig el virus elimina ciertas claves del registro de windows impidiendo que el PC se inicie en Modo Seguro o en Modo aprueba de Fallos. tenemos una aplicación que elimina el virus en forma automática y restaura el registro de Windows.

Me llego un Equipo Con este virus Procedí a revisar el equipo y lo primero que hice:

1.Intentar acceder al MSCONFIG, y me salía un mensaje de error:

Ósea no pude entrar al msconfig para ver qué programas se están cargando al inicio. Es, muy sospechoso.

2.Ok, intenté luego acceder al Editor del Registro Regedit.exe y el siguiente mensaje nuevamente:

Esto fue muy Molesto.
3.Dije, bueno hay herramientas que también permiten visualizar los programas que se cargan junto con window, los más comunes que uso son el Hijackthis :

http://majorgeeks.com/download3155.html

o usando el A2Hijackfree:

http://download3.emsisoft.com/a2HiJackFree.exe
Así que las descargué y ejecuté.
Pero para mi sorpresa, antes de que pueda ver algo, se me cerraban las ventanas automáticamente!!!

4.Bueno, luego intenté reiniciar en modo a prueba de fallos y tampoco podía acceder, se reiniciaba automáticamente mostrando antes una pantalla azul de error, la tan conocida Pantalla Azul de la Muerte (BSOD-Blue Screen Of Death).
Bueno, luego intenté por la Línea de comandos para ver si podía encontrar algo.
Haciendo un listado en la unidad C: encontré 2 archivos SUPER Sospechosos: MSCS.PIF y el autorun.inf, Ambos ocultos como archivos de sistema.
Al editar el autorun.inf direcciona al archivo MSCF.PIF !!
No hay duda, éste es un virus, pero hay que ver si en realidad está activo y si es al causante de mis irritaciones.
Así que me descargo el Process Explorer de Mark Russinovich y visualizo los procesos activos y veo un archivo llamado WUAUCLT.EXE.
Esto automáticamente me remonta en memorias a los tiempos de Microsoft Windows Millenium Edition. El archivo WUAUCLT.EXE era un archivo que servía para hacer las actualizaciones en Windows Millenium, en los sistemas operativos posteriores: 2000, 2003 y XP este archivo está aún en la carpeta C:\windows\system32\ con los siguiente nombres:
•wuauclt.exe
•wuauclt1.exe
SIN EMBARGO, no se usan más como procesos padres!! Así que no deberían estar más activos, a no ser que estén activadas las actualizaciones automáticas, si están activadas, este virus lo sobrescribe y de este modo se activa en cada momento.

Así que es un sospechoso, de estar activo en Windows XP Professional XP2!!!.
Procedo a ver los detalles del proceso WUAUCLT y me muestra lo siguiente:




Así que no me cabe más duda, el virus activo es el MSCS.PIF que usa una imagen del mismo virus llamado WUAUCLT.EXE
Así que procedo a sacar una copia de estos virus - para mi colección y análisis - jeje. Y lo pruebo en un máquina virtual para ver qué cosas hace en el sistema afectado y de este modo, conociendo cómo funciona, hacer la vacuna adecuada.
Como lo puedes ver en la imagen siguiente, tengo el virus en la máquina virtual y previamente antes de ejecutar el virus, primero hago un listado para ver si hay archivos con el mismo nombre en C:\windows\system32
Vemos el listado y tenemos los 2 archivos como mencioné líneas arriba. Los 2 archivos mencionados.

Procedo luego a sacar un backup de mi registro usando el Advanced Registry Monitor:
Y procedo a ejecutar el virus, luego de ejecutar el virus hago nuevamente un listado en c:\windows\system32 y me sale lo siguiente, osea el archivo wuauclt.exe anterior ha sido reemplazo por otro con el mismo nombre pero de tamaño diferente: 15893 bytes, aproximadamente 15 Kilobytes.

Luego procedo a sacar otro backup del registro ósea estando ya el virus activo en mi máquina virtual para compararlo con el Backup anterior y ver qué modificaciones ha hecho el virus en mi máquina. Al hacer la comparación me muestra que hay 5 claves del registro borradas (apuntada por la flecha) y en el cuadro rojo grande vemos las 4 claves que fueron borradas. Esto es muy interesante, ya que exactamente estás claves en el registro son las que definen que se cargue la unidad de inicio cuando se accede en el Modo Seguro o en el Modo a prueba de Fallos.

Con estas claves borradas el virus se asegura que NO puedas iniciar en el Modo Seguro, esta es la razón por la cual en las máquina infectadas con este virus, no se puede acceder al modo Seguro.

Ahora en la claves o valores agregados se ha creado un valor llamado Explorer que apunta al archivo de virus WUAUCLT.EXE en la clave:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
De este modo, se asegura de iniciarse cada vez que inicie el sistema.
En el cuadro azul se muestra las entrada creadas para interceptar la ejecución de los siguientes programas y ejecutarse, y evitar que otros procesos los usen:

Esto lo logra creando el valor llamado Debugger para cada programa, entre ellos varios motores de antivirus conocidos e incluso el MSCONFIG y el REGEDIT de modo que cuando alguno de los programa de la lista intenten ejecutarse, no se ejecuten.


Esa es la causa por la que sale el error descrito arriba cuando se intenta ejecutar el REGEDIT.EXE y el MSCONFIG.EXE.

Ahora en la sección de Datos y Valores modificados el cuadro en azul muestra como el valor Checked ha pasado de ser “1” (Antes de la ejecución del virus) a ser el valor “2” (después de la ejecución del virus).
Con esto el virus evita que se muestren los archivos ocultos, ya que los ejecutables del virus se han auto atribuido características de archivos ocultos (H), y Sistema (S).

Ahora, usando el Monitor de Procesos de Mark Russinovich, vemos las acciones que ha realizado el archivo MSCS.PIF al ser ejecutado, como se puede ver en la imagen crea archivos en todas las unidades:
• autorun.inf
• MSCS.PIF
Con esto está infectando las unidades de modo que se ejecuten en todas las unidades el virus usando la característica del Inicio Automático (AutoRun).

Y luego les pone atributos de Sistema y Ocultos (H y S)

Y por último, el virus también crea 2 copias de sí mismo en las siguientes carpetas:
•C:\windows\system32 ——-> wuauclt.exe
•C:\windows\System32\dllcache –> wuauclt.exe

Señores, de este modo conociendo cómo actúa este virus, se ha elaborado una vacuna que:

1.Elimina el virus y sus “hijos”
2.Restaura el Registro de sistema para poder acceder al Modo Seguro
3.Restaura el Registro para poder ejecutar nuevamente los programas “bloqueado” como el msconfig, regedit, procesos de antivirus bloqueados, etc.
4.Restaura el Registro para poder ver los archivos ocultos y de sistema nuevamente.
Espero la disfruten y les ayude.

Recomiendo también que ejecuten la vacuna una vez más después de reiniciar, para asegurar la completa eliminación de los rastros del virus.
La vacuna que se diseño para este virus la puedes descargar de aquí:

Debes descargar el archivo comprimido y descomprimir a una carpeta el contenido, luego debes hacer doble click en el archivo mata_mscs.vbs y el programa limpiará tu sistema de este molestoso virus.

DESCARGA

jueves, 18 de septiembre de 2008

Final De Windows Vista????


Un Anucio en Kriptopolis en referencia a una grave vulnerabilidad en Windows Vista que parece ser cierta y es realmente preocupante este golpe demoledor para los usuarios de este sistema operativo.
El autor se refiere a que la unica solucion es instalarse un SO Linux y olvidarse de Vista, pero se olvida de que estos usuarios tienen la opcion que puedan instalarse Windows XP legalmente en su ordenador pues parece que esta vulnerabilidad no afecta a este SO.


Por Fernando Acero

De todos son conocidos los problemas de Windows Vista para entrar en el mercado, con controvertidas cifras de venta (recordemos que se lo hacen comer con patatas a cada comprador de un sistema informático) y con otros serios problemas con el hardware, los recursos y la compatibilidad, como ya predijo Gartner en su momento. Pero puede que la puntilla destinada a acabar definitivamente con este sistema operativo tan polémico se la acaben de haber dado en Las Vegas...

Al parecer, investigadores de IBM y VMWare acaban de desvelar durante la conferencia Black Hat de Las Vegas, una técnica que permite obtener control total de Windows Vista y lo hacen, de una manera que puede que sea prácticamente imposible de solucionar por Microsoft, a menos que cambie por completo. o sustancialmente, la arquitectura de seguridad de Windows Vista, lo que sinceramente, como están las cosas, me parece improbable.

El problema nace en la forma en la que algunos programas de Windows Vista,DLLs (librerías dinámicas) en la memoria de la máquina. El error se basa en que Microsoft asumió para la arquitectura de seguridad de su sistema operativo Windows Vista, que cualquiera de los archivos de DLLs que se cargasen a través de su tecnología .NET, eran seguros por definición. Apuesta, que sin duda, es arriesgada para la seguridad del sistema, pero que parecía conveniente por motivos comerciales. Como están las cosas, basta mezclar la tecnología .NET con código malicioso embebido en DLL's, para tener un cóctel explosivo y demoledor para la seguridad de los usuarios.

Lo peor de todo, es que es una técnica muy sencilla de implementar y muy flexible, puesto que se pueden modificar las DLL maliciosas con mucha facilidad y añadirles un "payload" personalizado, lo que puede abrir las puertas a un nuevo universo de maldades informáticas, gracias a que cualquiera podrá tomar el control total y absoluto de un ordenador dotado con Windows Vista, con un acto tan inocente como visitar una página Web preparada para ejecutar el ataque.

Por si alguno piensa que el parche llegará pronto, hay un problema adicional en todo este asunto, como hemos dicho, el fallo reside en la arquitectura de seguridad de Windows Vista, es decir, que no explota un error de programación, más bien, explota un error de diseño que afecta a lo más íntimo del sistema operativo. La consecuencia es clara, puede que no se pueda arreglar con facilidad, o si se puede, el parche puede ser de varios cientos de megas y sobre todo, de poder arreglarse, es posible que tarde algún tiempo en llegar.

Ahora es el momento de pensar en lo que decía Bruce, sobre el coste para la seguridad que tiene un monopolio, o sobre los problemas de seguridad del código cerrado y monolítico.Pero lo peor de todo, es que a pesar del desastre para los usuarios de Vista, habrá muchos usuarios que no serán conscientes del problema y que seguirán usando Vista con todo lo que ello puede suponer para la seguridad global.

Por Tonky
Ahora que piensan Ustedes sobre ese gran fracaso de windows Vista Yo por eso me quedo con Xp Y uno que otro Linux Saludos