Util PC Blog

Para hoy de nuevo tengo estipulado otro viaje a la capital, así que estaré ausente unos días por acá.

Si dejas un comentario con alguna pregunta o me envías un e-mail ya sabes por qué no contestaré ;)

No hackeen mucho mi sitio :).

Salu2

No soy un experto con los malwares y de hecho considero que es una de los temas que menos conozco, pero eso no quiere decir que no sepa absolutamente nada del tema.

Si eres técnico en computadores o pretendes serlo una de las cosas más comunes es que te topes con el famoso llamado de “a mi computador le entró un virus” que es bastante común. Muchos se van a la antigua y prefieren pasar el antivirus a todo el computador; esta opción es la menos efectiva a mi parecer y la que tarda más.

Puedes pasar el antivirus pero si se trata de un Rootkit o de algún malware que explote alguna vulnerabilidad del antivirus el virus pasará desapercibido a los ojos del antivirus; el computador seguirá infectado y probablemente el usuario volverá a llamarte. Debido a esto haré una recopilación de herramientas que en lo que a mi respecta, se necesitan para eliminar virus de manera rápida y eficientemente.

Herramientas de análisis y detección manual:

Las siguientes herramientas deben tratarse con cuidado, son muy utiles pero muy peligrosas si no se sabe como usarlas.

HijackThis: Esta herramienta nos mostrará algunas entradas del registro que suelen ser frecuentadas por los virus. Por ejemplo, la página principal de Internet Explorer que suele ser secuestrada, las entradas que contenga el arhivo Hosts, y los servicios.
Me parece una herramienta fundamental para la detección y eliminación de algún malware. Es necesario que conozcas su uso.

Silent Runners: Herramienta que crea un log en archivo de tipo TXT y nos permite ver practicamente todo lo que se ejecuta en el sistema. Tiene 2 tipos de análisis, el simple que solo muestra unas pocos procesos que se ejecutan con el sistema y algunas DLL; el completo muestra un log mucho más grande y detallado pero mucho más complejo y tedioso de leer.

Autoruns: Otra herramienta que nos muestra de manera muy detallada los procesos en ejecución y DLLs cargadas en el sistema. Este posee un entorno gráfico y permite deshabilitar o habilitar archivos ejecutables con solo un clic.

Herramientas de eliminación manual:

Una vez que hayamos detectado los archivos del malware debemos eliminarlos pero… quizas no se dejen eliminar tan facilmente, así que podemos usar estos programas:

KillBox: permite eliminar directorios o ficheros incluso si no pueden eliminarse de manera normal porque están siendo usados.

FileAssasin: Básicamente hace lo mismo que killbox pero es mucho más eficiente. Pueden tener una versión en español exclusiva de ForoSpyware haciendo clic aquí (requiere que etsén registrados en ForoSpyware): FileAssasing español

Linux LiveCD: Nunca subestimes el poder de un LiveCD de Linux; con el podrás eliminar cualquier archivo de Windows incluso si ninguna de las herramientas anteriores lo logra. Es simplemente genial, puede eliminar incluso archivos protegidos del propio Windows, muy útil contra virus como el Brontok el cual apagan el computador cuando tratas de eliminarlo.

Herramientas de detección y eliminación automática:

Una vez que hayamos detectado la infección necesitamos una herramienta que busque por nosotros los posibles archivos infectados y los elimine. Recuerda que no siempre podremos detectar todo de manera manual.

DelPSGuard (requiere que estén registrados): Herramienta hecha por ForoSpyware para eliminar las variantes de PSGuard. Muy efectivo y se actualiza constantemente.

MSN Cleaner (requiere que estén registrados): Otra herramienta hecha por ForoSpyware para la eliminación de malwares que se propagan a través de Messenger; muy recomendada.

Vundo Fix: Herramienta que detecta y elimina las variantes del malware Vundo.

ComboFix: Es una muy completa herramienta que elimina una buena cantidad de variantes de malwares como por ejemplo vundo, bagle, psguard entre otros. A parte de ello su principal utilidad radica en la detección y eliminación efectiva de Rootkits, una clase de malware bastante complejo de detectar y quitar. Tambien crea un log bastante completo sobre los ficheros eliminados, ficheros que ninician con el sistema, ficheros que fueron creados recientemente en zonas críticas del sistema y archivos sospechosos.

ElilBagla: Herramienta creada por ZonaVirus que permite eliminar variantes de Bagle.

Elistara: Otra herramienta de Zona Virus que permite eliminar variantes de PSGuard, virus del MSN, vundo, y algunos más.

CWShredder: Herramienta que permite detectar y eliminar el malware de MyWebSearch.

SmitFraudFix: Otra herramienta para eliminar variantes de PSGuard.

MWav: Herramienta que utiliza el motor de análisis heurístico de Kaspersky así como una firma de virus. Analiza el computador o algunas zonas en busca de variantes de alguna infección. Lo malo es que tiende a dar muchos falsos positivos.

Flash Disinfector: Potente herramienta que quita muchas variantes de los virus Autorun que se copian en unidades locales y extraibles como los pendrives. A parte de ello crea una protección para que algún virus de la misma variante no pueda copiar de nuevo su autoarranque.

Herramientas de reparación de daños causados por malware:

Inirem (requiere que estés registrado): Desbloquea la página principal de internet explorer que suelen robar algunos malwares como las variantes de PSGuard.

RegUnlocker: Permite desbloquear el registro, el administrador de tareas, el fondo de escritorio, la página de inicio de internet explorer y repara algunas opciones que suelen dañar algunos malware. Herramienta muy completa y recomendada.

LSPFix: Permite arreglar el LSP de Windows robado por algunos malwares.

Algunos comandos necesarios para la eliminación de malwares:

En general es bueno que conozcas los comandos del símbolo de sistema en Windows, pero básicamente necesitarás 2 comandos para ayudarte a eliminar algún malware.

sc delete : Comando para eliminar servicios de Windows. Muchos malwares crean servicios para iniciar con el computador. Las mayoría de herramientas antes mencionadas no eliminan de manera efetiva los servicios, solo los archivos del malware así que conocer este comando es escencial.

regsvr32 -u : permite eliminar del registro alguna DLL. Muy útil para aquellas DLLs que no se dejan eliminar :).

Herramientas de limpieza de rastros y entradas del registro:

Una vez que tenemos el sistema teóricamente limpio de malware siempre quedan rastros de entradas de registro del malware y probablemente temporales, así que estas herramientas nos vienen bien:

CCleaner: Limpia temporales del sistema y entradas del registro de manera muy segura y efectiva. Es muy recomendado.

RegSeeker: Limpia solo el registro de Windows de entradas inválidas, es muy efectivo pero a veces provoca inconvenientes en el sistema.

Disk Cleaner: Herramienta para eliminar los rastros de temporales y archivos que no necesita Windows. Es muy potente y hace limpieza a fondo.

Pero…..

Nada de esto podría funcionar bien en manos erradas. Herramientas como HIjackThis o Autoruns son peligrosas, una eliminación errada de alguna entrada podría dejar inutilizable alguna aplicación o el propio sistema.

Es recomendable que se tengan conocimientos “avanzados” del sistema operativo para poder realizar una limpieza, así como también se sepa utilizar cada herramienta de acuerdo a las necesidades, no solo usarlas por usar ;).

Espero que les sirvan esas herramientas ;)

Salu2.

La instalación de un servidor SSH es muy importante porque nos permitirá controlar nuestro servidor de manera remota desde una consola y bajo cifrado, lo que quiere decir que toda la comunicación que establezcamos con el servidor estará cifrada. Como es de esperarse no habrá un entorno gráfico en la mayoría de los casos pero… para qué necesitamos eso? ;)

Yo escogí OpenSSH a pesar de que hace no mucho se descubrió un fallo muy importante en el paquete de OpenSSL para generar las claves aleartorias en las distribuciones de Debian y derivadas pero ustedes pueden escoger el que gusten.

Comenzamos la instalación ejecutando:

apt-get install openssh

También pueden descargar el Source Code desde la propia página de OpenSSH y hacer la instalación compilando los paquetes, así se evitan las posibles modificaciones que hay en los paquetes de Debian (o de su distribución) ;).

Ahora necesitamos conocer los archivos de SSH básicos:

/etc/ssh/sshd_config: Archivo de configuración del servidor SSH.
/etc/ssh/ssh_config: archivo de configuración del cliente SSH.

Configuración básica de sshd_config:

Port: el puerto de conexión a SSH, por defecto es 22 pero se recomienda cambiarlo por seguridad.

Protocol: indica la versión de protocolo que se utiliza. solo hay 2 protocolos que son 1 y 2, el 2 se utiliza por default debido a razones de seguridad.

X11Forwading: este parámetro permite ejecutar aplicaciones gráficas en el servidor siempre y cuando esté habilitada la opción (yes). Si nuestro servidor no va a cumplir alguna función así lo mejor es colocar NO.

PermitRootLogin: Esta opción permite conectarse al servidor SSH con la cuenta administrador (root). Por seguridad es recomendable deshabilitarla (no) y acceder al servidor mediante usuario normal y luego usar el comando SUDO o SU.

AllowUsers: Con esta opción indicamos los usuarios que queremos permitor para conectarse, podemos agregar varios usuarios y los separamos con barra espaciadora. Por ejemplo, si queremos agregar usuario1 y usuario 2 quedaría AllowUsers usuario1 usuario2.

Podemos restringir el acceso de los usuarios desde una IP indicada o incluso un rango de IP, por ejemplo, si queremos que el usuario signum se conecte al servidor ssh solo desde la IP 192.168.1.1 podemos colocarlo así:

AllowUsers signum@192.168.1.1

Para el rango de IP 192.168 queda así:

AllowUsers signum@192.168.*

LoginGraceTime: es el número de segundos que tiene un usuario remoto para hacer login en el servidor SSH. Se recomienda poner menos de 30 segundos.

MaxAuthTries: es el número de intentos que tiene el usuario remoto para hacer login. Se recomienda solo 3.

MaxStartups: define el número máximo de usuarios que pueden estar conectados simultáneamente al servidor SSH. De acuerdo a la función del servidor se recomienda colocar el mínimo posible.

Una vez que esté listo el archivo solo falta iniciar o reiniciar el servidor SSH:

/etc/init.d/ssh start|restart

Conectandose al servidor:

Es bastante sencillo conectarse al servidor, solo basta con tener un cliente SSH, en linux pueden usar openssh-client y en Windows Putty:

Desde Linux:

Supongamos que queremos conectarnos al servidor 192.168.1.2 con el usuario signum, mediante openssh-client lo hacemos así:

ssh signum@192.168.1.2
Password:

Desde Windows:

Descargamos Putty de la página del autor: http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

Tomando el ejemplo anterior, queremos conectarnos al servidor 192.168.1.2 con el usuario signum, esta vez mediante putty, simplemente seguimos estos pasos:

Ejecutamos Putty y en el sector de Sesion buscamos Host Name (or IP Address) y colocamos 192.168.1.1 Luego buscamos Port y colocamos el puerto de SSH del servidor, normalmente 22.

Hacemos clic en el botón Open y listo, nos pedirá el usuario y la contraseña ;).

Bastante sencillo no? ;)

Capítulos anteriores:

Enlaces de referencia:

(en ingles)

Comentarios y sugerencias serán agradecidos.

Salu2

Para hace apróximadamente 3 días decidí formatear mi sistema esta vez para eliminar Windows completamente de mi disco duro (quien lo necesita?). Realicé las particiones con GParted y quedaron así:

/boot 150Mb como EXT3
/ 500Mb como ReiserFS
/home 6Gb como EXT3
/usr 6Gb como ReiserFS
/var 1Gb como ReiserFS
/tmp 1Gb como ReiserFS
Swap 1Gb
/datos 137Gb como EXT3

Nótese mi gusto hacia el sistema de archivos ReiserFS pero mi desconfianza. EXT3 es bueno pero lento (?) comparado con ReiserFS. Por otra parte ReiserFS es bastante delicado y en más de una ocación me he llevado sustos con el. Durante la instalación todo salió perfecto como siempre, pero…. comienzan los problemas. Uso Debian Lenny para los que tengan dudas.

Al ejecutar dpkg-reconfigure xserver-xorg me percato de algo importante; no me pide configurar el módulo de vídeo, el nombre de la tarjeta, la configuración del mouse, la configuración del monitor y resoluciones. Simplemente me pregunto acerca de algunas configuraciones del teclado y más nada.

Le eché un vistazo al archivo xorg.conf y veo que el archivo no tiene más de 10 líneas!!!!! (contando las 2 de comentarios).

Obviamente estaba incomlpeto lo cual me dio coraje porque ya me había fallado el paquete de audacious (al parecer por error de programación) como para que también el xorg. Luego de pensar una y otra vez qué hacer decidí ejecutar startx a ver qué resultado obtenía, Sorpresa! sin errores.

Pensando que estaría a salvo de problemas aparece el primero; no puedo seleccionar y pegar con el mouse. En linux, si seleccionas un texto y haces clic con boton derecho + izquierdo pegas el texto que seleccionaste, pues eso ya no sucedía! y me molestó mucho, muchisimo eso porque uso mucho dicha función.

No le paré mucho, luego lo resolvería; viene la hora de compilar el driver de Nvidia… uhm…… Error!!!!!! obtuve de nuevo este error al instalar los drivers compilando los que están en las fuentes o los de la página de Nvidia:

ERROR: Unable to load the kernel module ‘nvidia.ko’. This happens most
frequently when this kernel module was built against the wrong or
improperly configured kernel sources, with a version of gcc that differs
from the one used to build the target kernel, or if a driver such as
rivafb/nvidiafb is present and prevents the NVIDIA kernel module from
obtaining ownership of the NVIDIA graphics device(s).

Me parece extraño ese error porque tenía todo aparentemente bien, el gcc, build-essential, los headers del kernel, libc6-dev… bue… en fin, todo lo que se necesita para compilar un módulo. Pensé que sería por extraño que parezca, mi kernel optimizado.

Descargué unas nuevas fuentes del mismo kernel desde www.kernel.org , las descomprimí, copié mi archivo .config al directorio de las fuentes; ejecuté make-kpkg clean y luego make-kpkg –initrd kernel_image kernel_headers en media compilación error!!!!!!!!:

LD .tmp_vmlinux1
kernel/built-in.o: In function `getnstimeofday':
(.text+0x1cf05): undefined reference to `__umoddi3'
kernel/built-in.o: In function `do_gettimeofday':
(.text+0x1cfbd): undefined reference to `__udivdi3'
kernel/built-in.o: In function `do_gettimeofday':
(.text+0x1cfe0): undefined reference to `__umoddi3'
kernel/built-in.o: In function `timekeeping_resume':
timekeeping.c:(.text+0x1d192): undefined reference to `__udivdi3'
timekeeping.c:(.text+0x1d1b5): undefined reference to `__umoddi3'
kernel/built-in.o: In function `update_wall_time':
(.text+0x1d7ce): undefined reference to `__udivdi3'
kernel/built-in.o: In function `update_wall_time':
(.text+0x1d7f1): undefined reference to `__umoddi3'
kernel/built-in.o: In function `update_wall_time':
(.text+0x1d88b): undefined reference to `__udivdi3'
kernel/built-in.o: In function `update_wall_time':
(.text+0x1d8b5): undefined reference to `__umoddi3'
make[1]: *** [.tmp_vmlinux1] Error 1
make[1]: se sale del directorio `/home/usuario/linux-2.6.24.4'
make: *** [debian/stamp-build-kernel] Error 2

OK. ya comenzaba a asustarme, me fallaba una compilación de kernel, de módulo, el paquete audacious, muchos fallos que me desesperaban. En un último intento de prueba traté de compilar los módulos de virtualbox a ver que tal y zaz! error de nuevo.

Desesperado, pensé que sería alguna librería relacionada con gcc o algo similar, como no sabía cual era decidí hacer dist-upgrade y pasar a Debian Sid; ¿por qué no?. Para mi sorpresa continuaban los problemas y comenzaba a desesperarme; llevaba 3 días en lo mismo y había hecho 3 formateos obteniendo los mismos resultados. ¿Qué haré?.

Las soluciones:

Realmente no fue tan difícil conseguir las soluciones, solo necesitaba algo de paciencia cosa que no tuve en casi ningún momento :p

Para el detalle del la opción de pegar con los botones del mouse la solución fue ejecutar el comando:

Xorg -configure

Que encontré en el Release Notes de Xorg 7.1. Eso generó un archivo xorg.conf.new en /root, lo abrí con mi editor de texto, copié las líneas del mouse y las pegué en el xorg.conf, para ser exactos fueron estas líneas:

Section "InputDevice"
    # generated from default
    Identifier     "Mouse0"
    Driver         "mouse"
    Option         "Protocol" "auto"
    Option         "Device" "/dev/psaux"
    Option         "Emulate3Buttons" "yes"
    Option         "ZAxisMapping" "4 5"

Con eso solucioné el problema. La fuente exacta del fallo se encuentra en la emulación de 3 botones, sin ella la función de pegar el texto seleccionado no está disponible.

Para los que no estén enterados, parece que la versión del xorg 7.1 ya no pregunta por algunas configuraciones; al parecer la idea es automatizar el proceso.

Para el problema de las compilaciones fue aún más sencillo; yo estaba usando por defecto la versión 4.3 de gcc para hacer las compilaciones que por alguna razón me daba fallos. Solo bastó con ejecutar el comando:

ln -fs /usr/bin/gcc-4.2 /usr/bin/gcc

Con eso solucioné el problema de las compilaciones y ahora si puedo disfrutar de mi sistema Debian Linux Sid iniciando ahora con 65Mb en memoria :).

Salu2

Obviamente los antivirus no son invulnerables ni tampoco una herramienta indispensable a la hora de proteger. Hace mucho tiempo vengo diciendo que a estas alturas, si eres un paranóico de la seguridad (como yo) no uses antivirus debido a que crea agujeros de seguridad para tu sistema.

Recientemente leyendo un tema en Kriptopolis me encuentro que realmente no estoy tan errado. En el tema mencionan un detalle bastante importante y es el hecho de que se han hecho pruebas donde se afirma que se han recopilado unas 800 vulnerabilidades producidas por programas antivirus.

Los antivirus no son herramientas indispensables para un sistema realmente; obviamente, si eres un clic-maníaco será un suicidio estar sin antivirus en un sistema Windows pero para otros más precavidos no es necesario uno de estos programas o en el mayor de los casos, el más sencillo de los antivirus le servidrá y sobrará.

¿Y cómo evito los virus entonces?

Algo de sentido común podría servir realmente. Un sistema bien protegido con restricciones de acceso sería difícil de infectar. Si a eso le sumamos un programa para establecer permisos será muy complejo que un virus simplemente pueda si quiera, ejecutarse en nuestro sistema.

Hay tantos usuarios con miles de herramientas para protegerse y aún así se infectan, otros tienen su cautela y viven sin 1 solo malware…. las 2 caras de la moneda; ¿con cual te quedas tu? ;).

Salu2

SI si si, un poco exagerado el título pero al parecer un grupo de sin oficio logró tener acceso a la base de datos de CANTV y con ella obtener cientos de cuentas de e-mail @cantv.net y así, hacer un masivo envío de un correo que te lleva a una página web desconocida y que te pide descargar un falso plugin (de flash player), el cual, realmente es un troyano.

Un grupo de hackers inició una campaña masiva contra los usuarios con correo electrónico de Cantv, quienes al recibir un e mail que les sugiere la reactivación de su cuenta, terminan alojando en sus computadores un virus troyano que les roba información.

La detección de la irregularidad la reveló la empresa InformaticaForense.com, que presume que los delincuentes del ciberespacio podrían haber robado la base de datos de la compañía de telecomunicaciones para hacer los envíos.

Los usuarios deben estar atentos ante la recepción de un correo proveniente de la dirección soporte@cantv.net, en el que se pide la reactivación de la cuenta de correo electrónico. Al hacer click en el enlace para ejecutar la acción, aparecerá una página web falsa (en el dominio www.mayacofee.tw) que exige la descarga de la última versión de Flash Macromedia para ingresar el virus troyano, que hasta ahora no ha sido detectado por ninguno de los más importantes antivirus.

Para evitar la campaña, el abogado y especialista en informática forense, Raymond Orta, recomendó a los internautas instalar un programa antiespía (antispyware), y asegurarse de que el dominio al cual les redirecciona un link corresponda con la página que se desea revisar.

“Esta es la primera campaña dirigida a usuarios de Cantv que tiene fines delictuales”, aseveró Orta, quien adelantó que durante los dos próximos días InformaticaForense.com hará la denuncia ante las autoridades competentes por tratarse de un delito de orden público.

“Hay que dar una alarma general, eligieron un momento muy particular en el que hay fallas en la banda ancha de Cantv y hace que este tipo de mensajes tengan credibilidad”, señaló.

El especialista advirtió que con este virus, los hackers pueden aprovecharse de copiar las claves de acceso a la computadora para reutilizarlas en otro tipo de programa.

Sigan usando Windows 2003 como servidor……. y ASP….

Fuente | El Nacional