- “Que fondo más tocáo!!, ¿me lo grabas aquí?”
- A ver, dame la memoria. NO!! QUE VA!!! ESO TIENE VIRUS!!! TU ESTÁS LOCO!!!!
No son pocas las personas que actúan de esta forma cuando el Kaspersky mete uno de sus tenebrosos gritos o cuando el NOD32 nos acosa con sus ventanitas rojas. Y en verdad no dejan de tener un poco de razón. Virus muy famosos han acosado a la humanidad desde tiempos inmemorables: Melissa, LoveLetter, My Doom (más reciente)… Y es que en verdad el nombrecito que se les ha puesto hace que solo mencionarlos suene un poco a filme de terror.
No es mi objetivo hablarles aquí de la historia de los virus ni mucho menos, pero por algo hay que empezar.
Historia
Los virus informáticos están con nosotros casi desde el inicio de la computación. Un día alguien, quizás sin malas intenciones, se le ocurrió que los programas podían ser capaces de duplicarse y propagarse por las redes y ordenadores y casi sin darse cuenta se creo el primer virus.A este le siguieron una gran variedad de programas del mismo corte pero que, por la imaginación del creador fueron adoptando ciertas modificaciones que los diferenciaban de los demás, por lo que se hizo preciso empezar a llamarlos con otros nombre que de cierta forma los definieran, y es en este momento que se comienzan a definir los caballos de Troya, los gusanos y todos los demás tipos de virus que existen.
Hoy en día los virus son por mucho distintos a los de hace años atrás. Y cuando digo distintos me refiero a, DISTINTOS. Los lenguajes en los que se programan, los objetivos que buscan, las características que los definen y hasta los medios de propagación.
A pesar de que aún se utilizan técnicas de propagación bastante complejas, por estos días lo que más nos azota es la creación de virus de carácter nacional.
No es secreto para nadie que muchos de los virus que estamos acostumbrados a ver son creados por y principalmente para los cubanos. De cierta forma y quizás por la falta de interacción con especialistas de otros países, la mayoría de los virus utilizan las mismas vías de infección: las memorias y el registro como zona de carga.
En este artículo, lo que me propongo es ayudar a todos los usuarios de conocimientos básicos a defenderse de esos “peligrosos” programas que, a diferencia de los de antaño, más allá de causarnos problemas o dificultar nuestro desempeño, se convierten en simples huéspedes no deseados.
No son más que .EXEs
Sin darnos cuenta hemos dado a los virus una importancia en mi opinión un poco exagerada, los tratamos como si fuesen hijos de Lucifer u obras de adolescentes molestos que se dedican a fastidiar, pero en realidad un virus, por muy potente que sea, no es más que un ejecutable, un binario más del sistema operativo con la única diferencia que en lugar de obedecer las órdenes del dueño de la m máquina, hará caso solo a las líneas de código que el programador haya colocado en su interior.Como todo ejecutable, los virus deben esperar a ser cargados para desparramar toda su ira contra nosotros, ningún programa se ejecutará por si solo y los virus no son una excepción. (Si alguien conoce alguno por favor, mail-me).
Por la falta de conocimiento (y nótese que no es una indirecta), de deseos o simplemente por la facilidad con que hoy en día se puede crear un virus cuya propagación dependa de las memorias flash, todos, o casi todos los viritus estos que han salido a las calles utilizan este medio para llegar hasta nosotros. Basta colocar en la raíz de la memoria un .inf y un ejecutable y ya muchos recién egresados de los tecnológicos u otros centros de estudio se creen Dios y olvidan que del otro lado puede haber un rival que, con solo un poco de conocimiento, que eche por tierra todos los minutos perdidos con una herramienta para la creación de virus y que ha sido descargada de la red solo hace unas semanas atrás.
La defensa
Para la lucha contra el aegypti - perdón, es que estoy viendo la TV ;) – solo haremos uso de un cerebro y 3 doble clic.Lo primero es saber que Windows (sin que nadie se lo pida) cuando se le introduce una memoria siempre intentará leer un archivo de nombre autorun.inf que se encuentre en la raíz de la unidad, y según lo que diga este archivo serán las próximas movidas de nuestro confiable Sistema Operativo.
(He aquí un ejemplo de un autorun.inf)
[AutoRun]
open=1u0o8bnq.cmd
shell\open\Command=1u0o8bnq.cmd
shell\open\Default=1
shell\explore\Command=1u0o8bnq.cmd
(Como se puede observar, con la sentencia open se está tratando de abrir el archivo 1u0o8bnq.cmd que, al no tener una dirección específica, se infiere que esté en la misma dirección del autorun.inf, o sea, en la raíz de la unidad)
Sabiendo esto, ya el que “hizo”[1] el virus se estará frotando las manos, ignorando que con presionar la tecla Shift mientras se carga la memoria recién insertada, Windows dejará de revisarla en busca del autorun, por lo tanto este no se ejecutará y por consiguiente no cargara el virus.
Hasta aquí hemos levantado nuestra primera pared de defensa contra el malintencionado binario, pero no se confíen, aún queda mucho por hacer.
Una ves cargada la memoria y habilitado su icono correspondiente en Mi PC, no habremos hecho nada si la desesperación por ver esa foto (xxx) nos conduce a un doble clic sobre el dispositivo, ya que con esto estaremos cargando igualmente cualquier autorun que se encuentre en la raíz.
No obstante, podemos entrar, revisar, eliminar y manejar de forma completa la memoria si antes habilitamos la vista de carpetas del explorador (ver>Barra del explorador>Carpetas) y hacemos nuestra penetración por este punto.
Como dije anteriormente, cualquier virus no es más que un .EXE, no es más que un binario, y como todo binario tiene una representación física en el explorador así que, una vez dentro de la memoria y sin haber corrido el riesgo de infestarnos, le haremos el favor a nuestro amigo de eliminarle el virus de su dispositivo.
Nota_1: Todas las máquinas tienen marcada la opción de ocultar archivos y carpetas ocultas. Para ver todos los ficheros de una carpeta acuda a: Herramientas >> Opciones de carpetas, en la pestaña Ver marcaremos la opción “Mostrar todos los archivos y carpetas ocultas” y desmarcaremos “Ocultar archivos protegidos del sistema operativo (recomndado)”. De esta forma cualquier posible archivo que haga uso de estas condiciones para pasar desapercibido será descubierto.
Nota_2: En cas que un dispositivo tenga un virus, para saber cual de entre todos los ficheros es el ejecutable infestado se debe abrir el autorun.inf con un editor de texto (Notepad o similar) y leer cual es el archivo que carga (en el ejemplo anterior era: 1u0o8bnq.cmd). Aunque por lo general tanto el autorun como el ejecutable vienen ocultos.
El ataque
Ok, hasta aquí espero haber ayudado a que muchos pierdan el miedo a los virus, ahora, si no es mucho pedir, vamos a ir un poco más allá.Quizás, por determinadas razones, el virus logró penetrar dentro de nuestro sistema y ahora se encuentra haciendo fiesta con los archivos del mismo más, no os preocupéis hijos mios, nosotros seguimos teniendo el control.
Como muchos, la mayoría de estos virus suele tener como zona de carga el registro, y dentro de este algunas zonas especiales que, por la poca exploración por parte del usuario las hacen más que ideales.
De pequeños nuestros padres nos dicen: “Cuidado con el coco”, ya cuando grandes la frase se convierte en algo como “Cuidado con el registro”. Pero este no es tan fiero como lo pintan, con un poco de tacto y maña, podemos abrirlo y trabajar con el como si fuera una carpeta más del sistema. (Y si estoy diciendo mentiras que se me retire el fluido electr…….., jajjajaajaja)
Referencia a: BlackHat #35: Regedit a fondo (Parte I)
Referencia a: BlackHat #36: Regedit a fondo (Parte II)
Referencia a: BlackHat #37: Regedit a fondo (Parte III)
Otro tipo de virus
Hasta aquí hemos tratado un solo tipo de virus, el más sencillo, el más común, y el más estúpido, pero por desgracia no es el único tipo que nos afecta. Hace relativamente poco tiempo pude ver un virus que era completamente distinto, un virus que se valía de otras artimañas para engañar al usuario, un virus por mucho más inteligente. (Felicidades al creador)El mismo lo que hacia era ocultar todas las carpetas que se encontraban en la memoria y crear una copia de el con el mismo nombre de cada una de las carpetas que ocultaba. Como el icono del programa era idéntico al de una carpeta de Windows XP, para un usuario normal no existía diferencia, incluso, al hacer doble clic sobre cualquiera de estas “carpetas”, el virus hacia un llamado a la carpeta real y se mostraba su contenido, lo que calmaba cualquier sospechas por parte de un usuario común. La única y gran diferencia estaba en que no era una carpeta sino un .EXE, y como todo EXE que se respete contenía su extensión.
Nota_3: Para ver las extensiones de todos los archivos acuda a: Herramientas >> Opciones de carpetas, en la pestaña Ver desmarcaremos “Ocultar extensiones de archivo para tipos de archivo conocidos”
Entonces… ¿Antivirus?
“El mejor antivirus es el Kaspersky”“El mejor antivirus es el NOD32”
“El mejor es el SAV”
“El mejor es..”
Son algunas de las opiniones que se tienen sobre los antivirus, en lo particular, para mi, todos tienen razón. Mientras que el Kaspersky se especializa en buscar mayor calidad de sonido para generar los mensajes de alerta, en perfeccionar y actualizar su base de datos, NOD32 se preocupa más por ingeniárselas para tener una heurística cada vez más poderosa, y el SAV… es el de Segurmatica.
Con esto me refiero a que cada Antivirus es especial para una tarea. Si queremos navegar tranquilos quizás nadie sea más efectivo que Kaspersky, pero si queremos estar lo más inmune ante cualquier “salvajada” creada en Japón, entonces será la heurística de NOD lo único que nos calmará. En cambio, y a pesar de todo, quizás solo SAV tenga la solución para las cosas que nos caen de nuestro propio patio.
Así las cosas y no pudiendo tener los 3 en la máquina, la solución perfecta sería aprender nosotros mismos a cuidarnos, aprender a no confiarnos cuando no escuchemos el gritico de terror o veamos la ventanita roja, porque a la hora de la verdad, los más perjudicados seremos nosotros.
¿Dudas?
Hasta aquí hemos analizado dos tipos de virus: Todos los que basan su infección en la utilización de los autorun.inf en la raíz de las memorias y el caso especial de uno que se hacia pasar por una carpeta de Windows, pero no todos tienen que ser así. Pueden haber otros que, haciendo uso de otras vulnerabilidades intente atacarnos y convertir a nuestra PC en incubadora de software malicioso, pero no siempre tiene porque ser así.Para cada nuevo tipo de virus siempre existirán nuevas soluciones, para cada solución siempre existirá un nuevo tipo de virus; pero para cada cosa, ya sea de un tipo o de otra, existirá siempre un boletín más de BlackHat.
Black Hat por Email
Black Hat por Feed
No hay comentarios:
Publicar un comentario