lunes, 3 de noviembre de 2008

Virus Usb Guia Rapida

Hay tantos casos de reinicidencia de muchos virus transmitidos por memorias USB que he decidido publicar unos Tips muy poderosos que te ayudarán a evitar contaminar tu PC con los molestosos virus de las Memorias USB.

la realidad de las cosas:
**1. Las memorias USB son 100% inseguras, conste que no digo con esto que ya no debamos usar memorias USB, sino me refiero a que su propia estructura las hace inseguras, osea la característica de Autoejecución o Autorun - si bien en un momento fue útil o en algunos casos aún lo es - ES LA CULPABLE de la mayoría de infecciones de PC’s a través de memorias USB.
**2. Como una vez dije: Autorun es la habilidad de varios sistemas operativos para que se lleve a cabo una acción al insertar un medio removible como un CD, DVD o memorias USB. Como pueden ver, algunos programadores de estos virus APROVECHAN la característica del AutoRun para que se ejecuten sus temibles creaciones.
**3. El uso de memorias USB ha desencadenado una PROMISCUIDAD enorme, ya que la usamos para casi todo, conectando a las pobres a cualquier computadora para subir o bajar información.

Sabiendo esto, yo estoy seguro que NUNCA dejarás de infectar tu memoria USB porque puede que en algún momento la conectes en alguna máquina infectada y la máquina infectada infectará tu memoria.

Pero con esta GUÍA 100% probada llego a la conclusión de que no importa si infectas tu memoria USB un millón de veces, TU MEMORIA USB NO TIENE PORQUÉ INFECTAR NECESARIAMENTE TU COMPUTADORA .
Cómo ??? Ya verás.


En la cadena de la Seguridad Informática, el eslabón más débil somos nosotros: LOS USUARIOS, ya que la mayoria de software malicioso necesita algún tipo de interacción por parte de nosotros, ya sea abriendo una página web sospechosa, abriendo “fotos” vía msn, abriendo un correo de alguien desconocido, buscando cracks de programas en páginas que posiblemente contengan exploits para nuestro navegador, pasando cadenas de correos (exponiendo direcciones de contactos), bajando programas piratas, bajando parches para eliminación de restricciones en software de pruebas, y EJECUTANDO VIRUS DESDE NUESTRAS MEMORIAS USB muchas veces sin darnos cuenta.

Entonces, empecemos asegurándo nuestra Privacidad e Integridad desde la zona más alta: EL INTERNET :

1. Si usas Internet Explorer, usa la versión 7 y mantenlo actualizado. (Personalmente yo no lo uso).
2. Usa un navegador alternativo como Mozilla Firefox u Opera. (Yo uso Firefox)
3. Mantén tu antivirus acualizado.
4. NO aceptes “Fotos” vía MSN, existen virus que autoenvían mensajes vía messenger haciendo creer que alguien de nuestros contactos nos está enviando fotos de paseo, etc.. Pregunta primero al contacto si es que te está enviando algo.
Las siguientes imágenes muestran casos típicos de máquinas infectadas en las que EL VIRUS ENVIA MENSAJES por msn haciendo creer que TU contacto está enviándote fotos:

Supongamos que aceptaste estas supuestas “FOTOS”, aún así no hay necesidad de que te infectes. Aún puedes darte cuenta que es un virus.
*La siguiente imagen muestra el archivo “foto” recibido y abierto con el Winzip y se ve así:
click en foto agrandar
Pero ahora veamos, expandamos la vista para ver el nombre de la supuesta foto y veremos que el nombre de la supuesta foto termina en .COM.
click en foto Agrandar
los archivos de fotos tienen extensiones: jpeg, jpg, bmp, png, gif, tiff, pero nunca por nunca deberían terminar en .com, .exe, .cmd, .bat, .scr, .pif.
Así que este es un virus que intenta hacernos creer que es una foto, pero al ver su nombre completo, lo descubrimos.

**5. Jamás abras correos no solicitados ni de desconocidos, ni descargues archivos adjuntos de correos de desconocidos.
Las siguientes imágenes muestran correos no solicitados que despierta nuestra curiosidad pero que contienen enlaces a sitios que contienen Virus o Troyanos.


*6. No visites sitios de pornografía, cracks o seriales de programas.
*7. En lo posible trata de no buscar cracks o parches para demos de programas y menos aún ejecutarlos.
Si sigues estos pasos tienes un poco más del 50% de seguridad en tu máquina.
Ahora el 50% restante es muy importante, LA SEGURIDAD LOCAL:

1. Desactiva la Ejecución Automática en todas las Unidades. Para algunos es un poco fastidioso, pero si se pone en balanza: Unos segundos de diferencia para accesar al dispositivo por desactivar la Ejecución Automática frente a Exponer nuestro Equipo a quién sabe qué tipo de bichos, creo que todos preferimos no exponer nuestra seguridad. Para desactivar la ejecución automática, descarga este script.
NOTA: El script para desactivar la Ejecución Automática solicita Ingresar “1″ (Uno) para Activar la Ejecución Automática (Cosa que no recomiendo pero lo pongo para aquellos que decidan arriesgarse a su propio riesgo), o ingresar “0″ (Cero) para Deshabilitar la Ejecución Automática (100% recomendado por tonky)
( Descarga Desabilita Autorun)

**2. Si sueles transportar programas, Instaladores y/o Ejecutables, GUÁRDALOS en un archivo ZIP o RAR con contraseña, y cada que vez que quieras usarlos los descomprimes en la máquina en la que vas a ejecutar o instalar el ejecutable. Esto es debido a que existen a virus que infectan los archivos ejecutables e incluso algunos infectan los archivos dentro de los archivos ZIP o RAR, por eso poner contraseña a tus archivos ayudará a protegerte.

Virus tan temibles como HALMAN y SALITY, que infectan archivos ejecutables y programas y que muy dificilmente se pueden restaurar y en la mayoría de casos es preferible FORMATEAR, REINSTALAR y conseguir de nuevo los programas y/o Ejecutables desde una fuente confiable o un Backup Previo a la Infección.Esta es la forma Incorrecta e Insegura de guardar Ejecutables o Programas.

Y esta es la forma Correcta y Segura de transportar Ejecutables y Programas en tu Memoria USB

NOTA: Lo ideal sería tener incluso los archivos de Documentos Word, Excel, Etc, también en Archivos ZIP o RAR con contraseña para evitar los virus de Macros. Es poco probable, pero también sucede.
3. Muchos usuarios EJECUTAN los virus de sus memorias USB en sus computadoras sin darse cuenta, esto se debe al archivo autorun.Si eres de los que solían o suelen Explorar los archivos de su Memoria USB haciendo doble click en MiPC y luego en los íconos de los drives (Unidades) de los cuadros Enmarcados en Rojo, estoy más que seguro que más de UNA VEZ has tenido problemas con estos virus de memorias USB en tu máquina.Esto se debe a que esta forma de visualización, Ejecuta los archivos Autorun.inf. Y si tienes la mala suerte que tus Memorias USB tengas estos archivos, ya sabrás porqué es que te reinfectas a cada momento.La forma Incorrecta e Insegura de Explorar los archivos de una memoria (DEMASIADO COMÚN Y CULPABLE DEL 70% de INFECCIONES) es así.

Lo más gracioso y colosal es la siguiente situación:- Supongamos que te infectaste con el Virus AMVO, y este virus como ya una vez dije: Infecta todas las Unidades del Computador, colocando el archivo Autorun.inf y el ejecutable del virus en la raíz de cada Unidad, osea :
* En C: (Unidad de Sistema) crea el autorun.inf y el ejecutable del virus.
* En D: (Unidad de Datos) crea el autorun.inf y el ejecutable del virus.
* En E: (Unidad de Más Datos) crea el autorun.inf y el ejecutable del virus.
* En F: (Unidad de Más Datos) crea el autorun.inf y el ejecutable del virus.
* ETC, y así en todas las Unidades.

Entonces muchos han llegado a formatear la Unidad C: (Unidad de Sistema) y no limpiaron los archivos Autorun.inf de las demás Unidades, entonces, Al hacer click en MiPC y siguiendo la forma incorrecta de Explorar las Unidades: SE REINFECTAN DEL MISMO VIRUS!!!!!!!.

Llegando a creer que los virus de memorias USB SON INMORTALES, que tienen algún rencor contra su persona, que se ha metido en el hardware, que etc, etc.

Esta es la forma CORRECTA Y SEGURA DE EXPLORAR las memorias USB y las Unidades.

O lo equivalente es presionar las teclas “Windows + E”.
Y luego hacer click en los íconos de las Unidades del Panel de Izquierda como en las imágenes siguientes.

4. Ver las extensiones de los archivos o Diferenciar los ejecutables de los no Ejecutables.
Una extensión es un conjunto de caracteres anexada a un nombre de archivo, generalmente separada por un punto.
En la familia de Sistemas Operativos de Microsoft (Todos los Windows) se usa para reconocer su formato, o para determinar la Aplicación que abrirá el archivo.

Ejemplos de extensiones:
ARCHIVO.TXT = Archivo de texto ASCII “texto plano” (Se abre con bloc de notas)
ARCHIVO.RTF = Archivo de texto con formato (Se abre con Wordpad o Word)
ARCHIVO.DOC = Archivo de texto con formato de Microsoft Word (Se abre con Word)
ARCHIVO.DOC = Archivo de Documento de WORD. (Se abre con Word)
APLICACIÓN.XLS = Archivo de Hoja de Cálculo. (Se abre con Excel)
APLICACIÓN.BAT = Archivo de procesamiento por Lotes (Ejecutable)
APLICACIÓN.EXE = Programa Ejecutable

Entonces lo curioso es que en las Instalaciones de Windows, por defecto la Opción: Mostrar las extensiones de los archivos está DESHABILITADO y la mayoría de PC’s tienen una vista similar a esto.

NOTA: Para ver las extensiones de los archivos puedes ejecutar el siguiente script, el cual solicita el ingreso de un Numero: “0″( Cero ) Para ver las extensiones y “1″ ( Uno ) para no ver las extensiones.

Descarga Ver extenciones


Es muy probable que te estés preguntado ahora ¿Y PARA QUÉ ME SIRVE VER LAS EXTENSIONES DE LOS ARCHIVOS?

RESPUESTA:Cuántas veces no ha sucedido que muchas veces hemos encontrado archivos tales como “pamela.jpg”, “diapositiva.pps” en nuestras memorias USB o en nuestros correos, sin saber quién nos ha pasado esos archivos, y bueno creyendo que eran archivos de imagen(la extensión “jpeg” es para archivos de imágenes) o alguna diapositiva le hemos dado doble clic, bueno después vinieron los estragos pues en realidad eran virus. Entonces te preguntarás : ¿cómo nos podemos dar cuenta si un archivo jpeg, doc, jpg, etc es realmente un archivo del tipo que dicen ser, y no un virus?.

Pues, la respuesta es: La gran mayoria de virus usan extensiones de ejecutables tales como: .exe, .com, .vbs, .bat, cmd, pif, scr, etc ,(osea Ejecutables) pero cuando te lo envían o se copian(de una máquina infectada a una memoria USB tuya) no aparecen con las extensiones completas, sino que se ponen nombres como: “pamela.jpeg.exe”, “diapositiva.pps.vbs”.

Entonces el problema está en que Windows generalmente siempre oculta la primera extensión para los archivos, haciendo pues que: “pamela.jpeg.exe” se muestre como “pamela.jpeg”, y que “diapositiva.pps.vbs” se muestre como “diapositiva.pps”, e incluso que “documento.exe” se muestre como “documento”. Ya te habrás cuenta del terrible daño que esto puede ocasionar, especialmente sino tenemos ni idea de todo esto.
Entonces, pues he ahí la razón por las cuales muchas veces hemos ejecutado virus creyendo que eran documentos, imágenes, etc.
Así que recomiendo que veamos las extensiones de los archivos que tenemos para saber a qué nos atenemos.

NOTA: Un ejecutable es un programa que ejecuta alguna instrucción programada por alguien, y los virus al ser programados también son Ejecutables. TODOS LOS VIRUS SON EJECUTABLES y tienen extensiones de ejecutables: exe, com, bat, cmd, pif, scr, vbs, para que se ejecuten por interacción del usuario.
PERO NO TODOS LOS EJECUTABLES SON VIRUS! Yo digo que te pongas alerta si es que recibes o tienes un archivo con doble extension o que parezca una foto o una diapositiva pero con doble extensión o que parezca una foto o un archivo de word o excel pero su extensión termine en .COM, .EXE, .SCR, .PIF, .BAT, .BAT.

La siguiente imagen muestra las carpetas de la Unidad C. Cuando no está Activada la Opción de Ver las Extensiones. Fíjate bien en la “carpeta” llamada Darby:

Y ahora después de Habilitar Ver las Extensiones veamos cómo se ven los archivos y Carpetas

Si te das cuenta?? Es un virus que se parecía a una Carpeta!! Entonces ver las extensiones te ayudará a diferenciar los ejecutables de los que no lo son.

**5. Ver los archivos Ocultos y de Sistema:
Por defecto en una instalación de Windows La opción para ver los archivos Ocultos y de Sistema está deshabilitada, así que NO verás los archivos ocultos así nomás.
Veamos la siguiente imagen que muestra la Unidad C de una instalación por defecto.

Ahora para ver los Archivos Ocultos puedes usar el siguiente Script para Ver o No ver los archivos Ocultos.

El Script solicita que ingreses “1″(Uno) para Ver los archivos Ocultos o “0″ (Cero) para NO Ver los Archivos Ocultos.
Descarga Ver Archivos Ocultos

Después de Activar la Opción para Ver los Archivos Ocultos, mira cómo se ve ahora la Unidad C
Vamos Analizar la imagen
* La Carpeta Recycler siempre existe en cualquier Instalación de Windows, es en realidad la Papelera de Reciclaje, así que si la borras, volverá a aparecer una y otra vez. Es por eso que muchos creen que tiene el virus Recycler en su PC. Lo que pasa en realidad es que algunos virus se ocultan dentro de esta Carpeta Recycler. Viendo sus atributos, tiene atributos de H (Oculto) y S (Sistema).
* La Carpeta System Volume Information también con Atributos Oculto y de Sistema. Es una carpeta INDISPENSABLE DEL SISTEMA, contiene Los Puntos de Restauración del Sistema e Información Util para el Indexado y Copias de seguridad de archivos. Hay formas de deshabilitarlo, pero no es tema de este post por el momento.
* Los demás archivos en el cuadro Azul también son archivos Vitales del sistema y algunos tienen protección contra Escritura para que no sean modificados o borrados.

Describiré los más importantes:

*NTDETECT.COM -> Es usado al inicio del Sistema Operativo para detectar hardware básico que requerirá el Sistema Operativo. Luego llama al archivo NTLDR. Mucho cuidado con este archivo, si lo borras, tu computadora no iniciará. Hay virus que se ponen nombres similares para que se confunda: n1detect.com, ntdeIect.com, nIdetect.com, etc.

**NTLDR -> Es el cargador de inicio del Sistema Operativo o BootLoader, necesita del archivo NTLDR y del BOOT.INI.Tambien es un archivo VITAL, si lo borras también tendrás problemas.

**BOOT.INI -> Almacena los parámetros que serán pasados al Núcleo del sistema Operativo. También esta protegido.

**PAGEFILE.SYS -> Archivo de paginación de memoria del sistema.

Más de una vez es UTIL visualizar los archivos Ocultos y de Sistema debido a que a veces los virus se autoatribuyen características de archivos de Sistema y Ocultos para que no se los vea de manera normal.

Veamos la siguiente imagen, que es un caso típico de infección por virus de memorias USB.

Como puedes ver los 3 archivos sospechosos tienen atributos de Oculto(H), Sólo Lectura(R), Sistema (S). Y no son del Sistema Operativo, por lo tanto son Peligrosos.

NOTA: No todos los archivos Ocultos y de Sistema son Virus, creo que la definición es clara.
En el Caso de las Memorias USB: NO DEBEN HABER ARCHIVOS OCULTOS Y/O DE SISTEMA, POR ESO SIEMPRE ES RECOMENDABLE BORRAR TODOS LOS ARCHIVOS Y CARPETAS OCULTAS DE LAS MEMORIAS USB.

Señores, estos Tips simples son esenciales para el mayor funcionamiento de tu computador y estes al tanto de los virus por la herramienta Usb saludos y Espero sea de gran ayuda.