Parche al español del SUPERAntiSpyware

21 04 2008

Hola

Esta vez les escribo para recomendarles una parche de traducción para uno de los mejores AntiMalwares modernos, el SUPERAntiSpyware.

Esta herramienta detecta y elimina multitud de spywares, adwares, troyanos e infecciones en general, con la posibilidad de obtener una versión de pago con protección en tiempo real.

El único problema que les puede presentar a ciertas personas, es que únicamente se encuentra en inglés.

La solución es muy sencilla, pueden instalar este parche al español no oficial, el cual pueden descargar de la web amiga de ForoSpyware:



Parche traductor




Programa traducido

Se los recomiendo ya que como les dije esta herramienta es muy efectiva, y fue creada por este humilde servidor 🙂

Agradezco críticas y comentarios.

Salu2

Anuncios




RegUnlocker 1.9.40 RC2

21 04 2008

Hola gente

He estado bastante ocupado últimamente, pero por suerte pude dedicarle un tiempo a este lugar.

Les presento una nueva versión de RegUnlocker, la cual no tiene ninguna función nueva, aunque le he corregido algunos detalles para que ande mejor:

  • Desbloqueo del registro por defecto
  • Corregidos los errores de creación de copias de seguridad
  • Corregido el error del comctl32.ocx
  • Funciones enumeradas
  • Idiomas: Inglés y Español




Español

Inglés

Cualquier crítica o comentario es bien recibido.

Salu2





El viejo bug del NTDLL

13 03 2008

Hola

Hoy he estado leyendo sobre una herramienta en cuestión, la cual también he probado, y fue bastante grande mi sorpresa al ver que un archivo que creaba la misma, no podía ser eliminado. Pero lo sorprendente no fue el hecho de no poder eliminarlo, si no porque me pareció increíble que un bug tan viejo de Windows siguiera sin resolverse. Hacía ya hace meses que conozco ese bug (por no decir más de un año) y pensé que ya se había solucionado, ya que para ese momento no tenía correctamente actualizado Windows, sumado a que varias páginas mencionan que el bug fue parcheado, cuando no es así.

Como dice el título, concretamente el problema se encuentra en la librería NTDLL.DLL (una de las librería más importantes de Windows) en la funciones RtlpWin32NTNameToNtPathName_U y RtlGetFullPathName_Ustr, que son las que se encargan de chequear las rutas de los archivos. Windows NT utiliza un estilo diferente de nombrado de archivos a los basados en DOS (debido al NTFS), es decir, que admite diferentes tipos de carácteres que antes no podían utilizarse. Po ejemplo, los espacios al final del archivo, lo cual es lo que genera esta vulnerabilidad. Es decir, que cuando intentamos acceder a un archivo que tiene peculiaridades del estilo NT (espacios al final, en este caso) mediante funciones basadas en DOS, no podremos acceder al mismo, ya que los espacios del final son eliminados por la función de chequeo de ruta y pasado un nombre de archivo incorrecto. Para los que no entendieron esta explicación, aquí va una explicación más sencilla:

  • Tenemos un archivo llamado “C:\archivo   ” (con tres espacios al final)
  • Un programa intenta acceder a “C:\archivo   “
  • Se llama la función RtlpWin32NTNameToNtPathName_U para verificar la ruta “C:\archivo   “
  • RtlpWin32NTNameToNtPathName_U automáticamente elimina los últimos tres espacios en blanco.
  • RtlpWin32NTNameToNtPathName_U devuelve la ruta “C:\archivo”, sin los espacios al final.
  • En vez de acceder a “C:\archivo   “, en realidad accedemos a “C:\archivo”, que no existe, o bien es otro archivo diferente.

Como verán, el problema es que al acceder al archivo en cuestión, en realidad estamos accediendo a otro, y con lo de acceder me refiero a modificar, copiar y eliminar.

Las librerías afectadas por este bug (o error de diseño, como quieran llamarle) son las siguientes:

    	
  • acledit.dll
  • ADVAPI32.DLL
  • cscdll.dll
  • CSRSRV.DLL
  • dskquoui.dll
  • EVENTLOG.DLL
  • GDI32.DLL
  • ifsutil.dll
  • KERNEL32.DLL
  • LSASRV.DLL
  • ntmarta.dll
  • OLE32.DLL
  • perfproc.dll
  • query.dll
  • rshx32.dll
  • scesrv.dll
  • sdbapiu.dll
  • setupdll.dll
  • sfc.dll
  • SHELL32.DLL
  • shim.dll
  • srvsvc.dll
  • trkwks.dll
  • ulib.dll
  • wow32.dll
  • AUTOCHK.EXE
  • autoconv.exe
  • autofmt.exe
  • NTVDM.EXE
  • os2srv.exe
  • posix.exe
  • regsvc.exe
  • SERVICES.EXE
  • smss.exe
  • WINLOGON.EXE

Las funciones afectadas son las siguientes:

    	
  • GetShortPathNameW
  • CopyFileW
  • MoveFileW
  • MoveFileExW
  • ReplaceFileW
  • CreateMailslotW
  • GetFileAttributesW
  • FindFirstFileExW
  • CreateFileW
  • GetVolumeInformationW
  • DeleteFileW
  • GetDriveTypeW
  • GetFileAttributesExW
  • CreateDirectoryW
  • FindFirstChangeNotificationW
  • GetBinaryTypeW
  • CreateNamedPipeW
  • SetFileAttributesW
  • MoveFileWithProgressW
  • GetVolumeNameForVolumeMountPointW
  • GetDiskFreeSpaceW
  • CreateDirectoryExW
  • DefineDosDeviceW
  • PrivMoveFileIdentityW
  • GetCompressedFileSizeW
  • SetVolumeLabelW
  • CreateHardLinkW
  • RemoveDirectoryW

Cualquier programador podrá darse cuenta de la potencialidad de esta vulnerabilidad, más aún si es utilizado con algún fin malicioso, como por ejemplo, una infección. Es más, la mayoría de los antivirus son vulnerables a este, lo que significa que al querer acceder a un archivo, no se podría o se estaría accediendo a otro, e imposibilitaría el análisis del mismo, lo cual demuestra obviamente que es un error de diseño bastante peligroso. En mi caso, uso NOD32 AntiVirus, el cual parece ser vulnerable al problema.

¿Cómo saber si mi AntiVirus es vulnerable?

Para verificar esto, sin riesgo alguno, podemos usar el test EICAR:

La prueba EICAR consiste en un archivo que sirve para comprobar la eficacia de los programas antivirus. La ventaja que tiene sobre otras comprobaciones es que el equipo queda libre de riesgos. Se trata de un inofensivo archivo de texto.

Consiste en copiar la siguiente cadena de caracteres:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

En el bloc de notas, y guardarlo con una extensión .com Un antivirus con protección en tiempo real debería detectarlo inmediatamente. Un escaneo en busca de virus también debería detectarlo. Esta prueba ya no es demasiado eficaz, es antigua y muy conocida por todos los fabricantes de software.

La idea es crear un archivo EICAR con espacios al final, para luego ver si el antivirus puede analizarlo y/o detectarlo.

Ahora, ¿Cómo acceder a estos archivos?, muy simple, utilizando el estilo de redirección NTFS, o alguno que no sea vulnerable. Para este caso, ralizamos lo siguiente:

1. – Desactivamos nuestra protección antivirus residente temporalmente para crear el archivo.

2. – Vamos a Inicio, Ejecutar… y tipeamos el siguiente comando:

  • type nul > “\\?\C:\eicar   “
  • notepad  “\\?\C:\eicar   “

En el caso de querer utilizar la carpeta raíz del disco C:\, y es muy importante poner uno o más espacios antes de la última comilla (“). Podrán ver que se abrirá el Bloc de Notas.

3. – Copiamos el siguiente texto al Bloc de Notas:

  • X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Luego, vamos al menú Archivo, y presionamos en Guardar…, o presionamos Ctrl + G.

4. – Una vez creado el archivo EICAR, reactivamos la protección antivirus, y analizamos el archivo.

En el caso de que el archivo no pueda ser analizado o nos de un error de que el archivo no existe, nuestro AntiVirus será vulnerable.

Si no fuera vulnerable, el archivo sería detectado al analizarlo o al hacerle clic (estando el residente activo, claro).



¿Cómo eliminar un archivo de este tipo?

Por ejemplo si quisieramos eliminar el “C:\archivo   ” del primer ejemplo, deberíamos ejecutar este comando:

  • del “\\?\C:\archivo   “

Obviamente, además podemos usar otras funciones y aplicaciones (aunque como dije, la gran mayoría son vulnerables) añadiendo la cadena de carácteres \\?\ al principio de la ruta.

Conclusiones

Este problema es grave, como ya venía diciendo, a nivel programático y también a nivel seguridad. La gran mayoría de los salvaguardas (AntiVirus, AntiSpywares, Firewalls), así que lo mejor sería una solución por parte de Microsoft. Cabe destacar que si nuestro AntiVirus residente está activado y es efectivo, la creación de un archivo será interceptada, únicamente si el archivo en cuestión se encuentra en la base de datos del software. Sinceramente, ver fallos como estos por parte de Microsoft, comienzo a recordar algunos de los motivos del porque uso Debian 😐

Cualquier comentario es bien recibido, y agradecería que informen si su AntiVirus es vulnerable o no, para poder tener una lista de esto.

Salu2





Mozilla Firefox 3 BETA 4

12 03 2008

No podía faltar yo 🙂

Como se viene anunciando ya en varios lados, Mozilla ha lanzado la  cuarta BETA del navegador Firefox 3. Por lo personal, he estado esperando esta versión, ya que se viene comentando desde hace ratoen sitios como Slashdot (27/02/08 – Firefox 3 Performance Gets a Boost) que esta versión mejora bastante su rendimiento, y les puedo asegurar que mis primeras impresiones confirmaron lo dicho: se ha incrementado notablemente la velocidad a nivel pestañas; la carga de páginas es mucho más ligera; mayor velocidad en páginas con Flash (YouTube, por ejemplo), AJAX y todavía no lo he confirmado pero según dicen también con JavaScript.

Sobre el consumo de memoria, ha subido bastante a mi parecer, pero es un efecto consecuente de tantas mejoras, de igual manera, aquí les dejo un screeenshot de la memoria ocupada por una sola instancia del navegador pero con 8 pestañas abiertas:

Firefox 3 BETA 4 - Administrador de tareas

Como verán, son unos cuantos MB :S si bien hay que tener en cuenta que con los computadores modernos no deberían tener problema con esa cantidad de memoria, pero muchísima gente tiene máquinas de pocos recursos, y para estas es todo un problema, es decir, para una máquina que cuenta con 512Mb de memoria RAM, no supondá un problema (a menos que se trabaje con apliaciones pesadas, como Máquinas virtuales o juegos, claro está), pero para un equipo con 256 MB, será no solo poco recomendable, si no imposibe de utilizar.

Lamnetablemente todavía no he tenido la oportunidad de probarlo en ninguna distribución GNU/Linux, aunque lo haré cuando pueda.

Descarga:

El que entiende Inglés, puede ver las Release Notes aquí.

http://www.mozilla.com/en-US/firefox/3.0b3/releasenotes/

En fin, ya veremos que tal va este navegador, hasta ahora me ha gustado bastante, aunque todavía hay bastantes cosas que probar y ver que repercusiones produce.

Espero que me dejen sus comentarios.

Salu2





Enlaces simbólicos en Windows

29 02 2008

Hola

Aunque no lo crean, soy usuario de Linux Debian, pero lamentablemente en estos momentos me encuentro atado en el mundo de M$ Windows para realizar ciertas cosas, como las que encuentran en esta página. Hay varias cosas que extraño de Linux, muchísimas, especialmente la perfonmance y configurabilidad que las distribuciones basadas en Linux me ofrecen.

Hay otras funciones que realmente extraño, como por ejemplo los enlaces simbólicos, los cuales me ayudaban mucho para mantener mis carpetas y archivos organizados y fácil de acceder. Para los que no conocen este término, vallamos a Wikipedia:

Un enlace simbólico, en sistemas unix o linux, indica un acceso a un directorio o fichero que no es real, sino un enlace a otro, que se encuentra en un lugar distinto dentro de la estructura de directorios. Una modificación realizada utilizando este enlace se reflejará en el original; pero, por el contrario, si se elimina el enlace, no se eliminará el auténtico.

Demos un ejemplo:
Supongamos que tenemos un disco con dos particiones. En la unidad C:, que es donde alojamos todos los programas, está congelada con DeepFreeze, y cada vez que reiniciamos el equipo se restaurará a tal como estaba al inicarse, para de esta manera evitar infecciones y conservar la configuración que queramos. Entonces, utilizamos la unidad D: para almacenar los datos que no queremos que se pierdan al reiniciar, y configuramos todas las aplicaciones para que guarden todos sus datos directamente en esa partición. Pero , también supongamos, que estamos jugando un videojuego de código cerrado, el cual guarda los datos y las partidas guardadas del mismo en esta carpeta, la cual no podemos cambiar:

C:Documents and Settings\Usuario\Datos de programa\Videojuego

Si el juego utilizaría una ruta diferente, como por ejemplo la misma carpeta donde se instaló el juego, podríamos tranquilamente haberlo instalado en el disco D:, entonces los datos del mismo estarían siempre a salvo. Pero, lamentablemente en este caso, deberíamos cambiar la ruta de toda la carpeta “Usuario” desde el registro, lo cual sería bastante imprudente, y además, perdería sentido tener la partición congelada con DeepFreeze, ya que esta es la carpeta en donde se guardan todas las configuraciones del usuario. Para solucionar este problema, lo que generalmente se hace es mover los datos antes de reiniciar la máquina, ya sea manualmente o mediante un programa.

Ahora, ¿No sería mucho mejor si el juego guardara directamente los datos en la partición D:? Por supuesto que sí, y para esto existen dos soluciones:

  • Editar el juego para que guarde los datos en una carpeta personalizada, lo cual es bastante complicado en la mayoría de los casos, además de ser ilegal.
  • Crear un enlace simbólico, que valla desde la carpeta “Videojuego”, a otra carpeta del disco D:. Es decir, que cuando el juego abra esa carpeta, en realidad lo que estará haciendo es acceder a la partición D:.

La mejor es la segunda opción, gracias a la herramienta junction, creada por SysInternals, que nos permite crear enlaces simbólicos en Windows bajo el sistema de archivos NTFS. En este caso, para dar la solución al ejemplo, mediante una consola ejecutamos el siguiente comando:

junction.exe “D:\datos de juego” “C:\Documents and Settings\Usuario\Datos de programa\Videojuego”

De esta manera, cuando el juego guarde sus datos. serán “redirigidos” a la carpeta disco “D:\datos de juegos” .

Ahora, saliendo del ejemplo, la sintaxis del programa es la siguiente:

junction.exe “ENLACE” “DESTINO_DEL_ENLACE”

Si quisieramos eliminar el enlace, es muy importante que lo hagamos con el siguiente comando:

junction.exe -d “ENLACE”

¡ATENCIÓN!
A diferencia de los sistemas operativos Unix/Linux, si eliminamos el enlace mediante el explorador, eliminaremos el contenido de la carpeta. Por lo cual hay que tener cuidado con esto. Tampoco podemos crear enlaces hacia archivos, solo a carpetas.

Así que ya saben, ahora pueden jugar con este programa, por mi parte cambie el nombre del archivo junction.exe a ln.exe (es el comando en las distribuciones Linux) y lo moví a la carpeta System32 del directorio Windows, para tenerlo integrado en la consola.

Seguramente a más de uno le puede servir para algo en específico, además les puede servir para muchísimas cosas, como para ahorrar espacio, organizar carpetas, o acortar rutas.

Espero que a alguien le sirva.

Salu2





El error del “comctl32.ocx”

27 02 2008

Hola a todos

Ya varias personas me han comentando que han tenido problemas al ejecutar el RegUnlocker, más específicamente por el siguiente error:

Missing OCX

Este problema esta producido debido a la falta del control ActiveX “comctl32.ocx” en el equipo que se ejecuta el programa, la cual permite la utilización de TabStrips entre otros objetos, que utiliza el RegUnlocker y muchísimas otras aplicaciones.

Solución:

  • Para solucionar el problema lo que debemos hacer es instalar la librería y registrarla mediante DllRegisterServer. Para ello, solo debemos seguir los siguientes pasos:
  • Obtener la librería; podemos copiarla de otro equipo, del CD de Windows, o descargarla de Internet. Una buena página para esto es afreeocx.com, desde este enlace.
  • Ubicar la librería en la carpeta adecuada. Simplemente copiamos el archivo a la carpeta “%systemroot%\system32”, la cual generalmente es “C:WINDOWS\System32”.
  • Registrar la librería. Para ello con el comando Eejcutar… del menú Inicio o desde una consola, ejecutamos lo siguiente:
    regsvr32 comctl32.ocx

Si realizamos los pasos correctamente debería aparecer el siguiente mensaje:

OCX Registered

Disfruten 🙂





ThreatFire: una protección inteligente

14 11 2007

Hola a todos

Esta vez les escribo para recomendarles un excelente salvaguarda, se trata de ThreatFire, anteriormente llamado Novatix CyberHawk y comprado a la empresa por PC Tools (creadora del famoso Spyware Doctor). Se trata de un complemento gratuito de antivirus (en etapa BETA) que no se basa en detección, es decir que no analiza archivos (aunque la versión de pago tiene un escaner de rootkits), si no que monitorea los procesos del sistema en busca de acciones maliciosas y sospechosas, que puedan llegar a ser las de un malware en ejecución. Esto tiene varias ventajas:

  • Puede detectar virus no reportados, al igual que una heurística
  • Protege el sistema contra crackers e intrusiones al sistema
  • Protege contra backdoors y troyanos de ataque específico (como troyanos para pharming)
  • Protege el sistema contra vulnerabilidades, incluídas 0-day (vulnerabilidades sin parches ni solución)

El programa cuenta con reglas internas que nos alerta cuando algún proceso intenta realizar una acción posiblemente maliciosa, por ejemplo, aquí he utilizado la opción de restauración del archivo hosts que tiene el RegUnlocker, y la ventana de aviso del ThreatFire:

ThreatFire Imagen 1

Si bien en este caso el RegUnlocker no es una aplicación maliciosa, muchos malwares añaden líneas al archivo hosts con el objetivo de redireccionar direcciones IP o dominios, hacia otras falsas o páginas locales creadas por la misma infección, por lo cuál la alerta es totalmente coherente.

Y aquí tienen otro ejemplo, que es una imagen protegiendo el sistema de una vulnerabilidad de Internet Explorer:

ThreatFire Imagen 2

Como verán el programa es muy efectivo, y algunas reglas internas son muy similares a las que usan los antispywares residentes y los firewalls, por lo que puede ser un poco confuso para usuarios inexpertos, ya que es posible que el programa nos alerte sobre programas legítimos, y usuarios sin experiencia o poco conocimiento sobre el tema podrían confundirlos con infecciones.

Además de las reglas internas, el programa cuenta con la posibilidad de configurarle reglas personalizadas, lo cuál es una opción realmente útil, y nos permite por ejemplo monitorear el acceso a un archivos, que puede llegar a ser una base de datos, un archivo de contraseñas o simplemente con información importante, lo cual es muy útil para protegernos de intrusiones.

Es más, como cortesía de esta página, aquí les dejo las reglas personalizadas de mi máquina, de modo que pueda reemplazar a residentes como TeaTimer, Arovax Shield, SUPERAntiSpyware Pro o similares, y otras reglas de protección muy útiles:

ThreatFire Imagen 3

Descarga:

Para instalarlo, simplemente descomprimen el archivo en la carpeta “Documents and Settings\All Users\Datos de programa\PC Tools\ThreatFire”, y remplazan el archivo General.dat. Las reglas están en inglés (idioma universal), al igual que el programa.

Agradezco cualquier tipo de crítica, sugerencia o comentario.

Salu2