La importancia del /boot en partición independiente

24 05 2008

Hola a todos

Siguiendo el hilo de mis dichosos problemas con Debian, hoy les quería seguir hablando sobre otros de ellos.

Seguramente si eres usuario de Linux, sabrás que para cargar tu sistema operativo, requieres un bootloader, en español, un gestor de arranque. También habrás visto una carpeta en el directorio raíz llamada “boot”, la cual contiene el gestor de arranque y los kernels (núcleos de sistemas) disponibles para usar, la cual por cuestiones de seguridad, es muy importante que se encuentre en una partición separada de las demás. Antes de seguir, primero vamos a dar un poco de teoría necesaria, sacada de la Wikipedia:

Un cargador de arranque (boot loader en inglés) es un programa sencillo (que no tiene la totalidad de las funcionalidades de un sistema operativo) diseñado exclusivamente para preparar todo lo que necesita el sistema operativo para funcionar. Normalmente se utilizan los cargadores de arranque multietapas, en los que varios programas pequeños se suman los unos a los otros, hasta que el último de ellos carga el sistema operativo.

Este programa contiene funcionalidades rudimentarias para buscar unidades que se puedan seleccionar para participar en el arranque, y cargar un pequeño programa desde una sección especial de la unidad más prometedora. El pequeño programa no es, en sí mismo, un sistema operativo sino, simplemente, un cargador de arranque de segundo nivel, como Lilo o Grub, que es capaz de cargar el sistema operativo propiamente dicho y, finalmente, transferirle el control.

Las distribuciones Linux, han adoptado por defecto el cargador de arranque GRUB, ya que es el más flexible, completo y configurable. Los cargadores generalmente se instalan en la carpeta /boot, en la cual como ya dije, se encuentra todo lo necesario para el arranque.

El problema en Linux, a diferencia que Windows, es que los sistemas de archivos de las particiones, en especial las más modernas como ReiserFS y XFS (las cuales usan el autor de este artículo), tienen diversos sistemas de seguridad que son tan sensibles que detectan todo tipo de fallas en el sistema de archivos (ya sea por causas físicas o no), que por cuestiones de protección, impiden ser montadas, u otro caso muy común, tu sistema ha sido apagado sin desmontar correctamente los volumenes por lo cual puede que tenga errores al remontarla.

Por ejemplo, supongamos que tu máquina por algún extraño motivo cae en un cuelgue total, del cual no puedes salir. Lo que harás, seguramente, será resetear la máquina para volver a iniciar el sistema. En un sistema como Windows o en una distro. Linux con un sistema de archivos EXT2/3, seguramente no tendrás problemas en iniciar, ya que estos son muy flexibles en cuanto a errores provocados por malos apagados.

Pero, si tienes un sistema de archivos como ReiserFS, puede de que recibas un error de tu gestor de arranque, acerca de que no puedes acceder a la información del disco, en el caso del grub, el famoso ERROR 18.

Ahora, ¿a qué se debe este problema con el gestor de arranque? Muy sencillo: cuando instalas un gestor, lo que haces es escribir en el MBR (Master Boot Record) el arrancador del gestor, que lo que hará es buscar en una carpeta previamente configurada (por defecto la carpeta /boot) la información necesaria para saber como iniciar el sistema. El problema, justamente, es que no podrás acceder al disco ya que al apagarse inesperadamente no se ha logrado desmontar correctamente, así que se generarán errores en la partición, por lo tanto tampoco podrás recuperar la información que hay en ella, y el cargador no sabrá como iniciar ningún sistema.

Para evitar este tipo de problema, el mejor método es en primer lugar tener la información del gestor de arranque, es decir la carpeta /boot, en una partición distinta a las que sueles usar, y en segundo proteger el contenido de la partición formateandola con un sistema de archivos flexible a los reinicios, y como última medida montandola con acceso de solo lectura para de esta manera, en el caso de sufrir algun reinicio inesperado, esa partición no sufra problemas, ya que será independiente de los errores de las demás particiones.

Lo mejor para tener esta configuración, es hacerlo cuando instalamos la distribución, es más, muchas distros., como por ejemplo Arch, ya crean por defecto el /boot en otra partición.

Aunque si tu ya has instalado y con buena razón no quieres volverla a instalarla, no te preocupes, todavía es posible mover tu /boot a otra partición, aunque eso lo dejamos para el próximo post 🙂

Salu2

Artículos relacionados:

Anuncios




Debian bueno, Debian malo…

16 05 2008

Hola

Hace un tiempo que ando desconectado del mundo informático, debido a hasta hace poco mi “queridísimo” Debian.

Luego de un largo período de no usar Linux, decidí iniciar una nueva instalación de Arch 2007. Lamentablemente, fue muy poco grata la sorpresa de que los repositorios de esa versión de Arch estaban deshabilitados, por lo que no pude concretar la instalación. Por lo cual, acto seguido recurrí a mi buen porta-cd, le quité el polvo a mi CD de Debian Etch, y comenzé una instalación, y como de costumbre, solo con el sistema base para poder instalar todo manualmente.

Deberá ser la enésima vez que sigo este proceso, realmente me sorprende como me queda un sistema totalmente configurado y personalizado a mi gusto: librerías, programas, fuentes, cursores, navegador de archivo, emulador de consola, administrador de sesión, administrador de ventanas, incluso tengo un theme para Fluxbox hecho por mí para tener todo a gusto. No se puede explicar la comodidad de usar un sistema que en el cual ha sido todo minuciosamente configurado por uno mismo, y realmente, luego de hacerlo tantas veces, tenía la sensación de ser un experto haciendolo, y que cada vez las instalaciones me salían mejor, así que más allá de no pdoer instalar la distro. que quería, no me sentía descontento de volver a Debian, ya que siempre me había andado a la perfección, y con una ligereza y fluidez avasallante.

Todo iva bien: instalé el navegador Links, basasdo en ncurses (para consola), mediante el gestor de paquetes APT, para poder acceder a las páginas en las cuales poder descargar los programas que deseaba. Entre todo eso, se me ocurrió, por qué no, la brillante idea de configurar los repositorios de Debian Lenny, para luego hacer un dist-upgrade, para así disfrutar los últimos paquetes, como la última versión de las librerías GTK, que necesitaría para instalar algunos de los programas que suelo compilar para llevar una vida más comoda y agradable. Por lo cual, con el editor VIM, configuré mi /etc/apt/sources.list de la siguiente manera:

deb http://http.us.debian.org/debian lenny main contrib non-free
deb-src http://http.us.debian.org/debian lenny main contrib non-free

Después de una actualización de la cache de los repositorios, ejecuté un dist-upgrade, y salí a tomar un café mientras terminaba la actualización.

Al terminar, reinicié el equipo, y comenzé con la instalación: como primera medida mrxvt como emulador de consola, el cuál tiene como muy cómoda opción la ejecución por pestañas; el servidor de X Xorg, con los drivers para placas de video ATI; y decidí compilar Fluxbox 1.0 con las optimizaciones para mí micro Prescott, cosa que era la primera vez que hacía. Luego de instalar tonterías como las utilidades de Fluxbox (Fbtools), los drivers de sonido ALSA, el aMSN, rtorrent, screen, etc, terminé de configurar algunos scripts para que todo ande bien, y decidí dar mi instalación por terminada descargando algunos wallpapers para poner en la carpeta de donde se seleccionaría aleatoriamente uno de ellos como fondo de escritorio en cada inicio.

Al día siguiente, como no, comencé a buscar algunos videos en YouTube, relacioneados obviamente, por lo cual abría varios videos en varias pestañas del navegador Iceweasel (la versión de Mozilla Firefox de Debian). Luego fue cuando empezaron mis dolores de cabeza, al ver que todo el sistema empezaba a andar a tirones:

TOP: firefox-bin 95% CPU 😐

Obviamente, todo se debía al plugin de flash, Adobe Flash Player. Intenté descargar el driver desde la págian de adobe, e instalarlo manualmente, pero el resultado era el mismo, es más, daba la impresión que iva todavía más lento, lo cual seguramente era signo de mi paranoia. También probé GNASH, una copia de Flash Player libre, aunque con resultados aún peores. Más allá de eso, dejé atrás lo sucedido, y me hice a la idea de que YouTube solo permitía acceder un video a la vez, para no tener problemas. Pero algo que no podía dejar pasar, es el que los videos que tanto me gusta disfrutar (no malcreídos, no pornos) anduvieran lentos, se trabaron, el sonido se escuchara mal o que no cargaran.

Empezé a revisar todo, y me dí cuenta que el instalador del driver ATI (para mi palca onboard Xpress 200) no instalaba el modulo encargado de la aceleración 3D. Investigé un poco sobre el tema, y me enteré que la última versión del driver no instalaba el módulo en kernels inferiores al 2.6.22, por lo cual, me relajé, e instalé el último kernel de los repositorios de Debian Unstable, 2.6.25, y luego los headers correspondientes, los cuales no me instalaban desde los repositorios, porque necesitaba el paquete kbuilder 2.6.25, que terminé descargando desde Debian Packages pensando que todo iva a ir bien.

Pero mi sorpresa fue más grande aún, al ver no solo que no se instalaba el módulo, si no que no se compilaba. Debido a eso, tuve que iniciar una nueva investigación, para enterarme que el driver no funcionaba con el kernel que tenía, por lo cual me sentí totalmente derrotado…

Pasaron unos días, y ya un poco más tranquilo, encontré esta página, la cual menciona la falla exacta del driver con respecto a esa versión del kernel, y un parche que, gracias al cielo, funcionó y me permitió compilar e instalar el modulo 🙂

Luego, mediante el comando aticonfig –initial, y de modificar un poco manualmente el xorg.conf, añadiendo las extensiones Composite y XVideo, y una que otra cosa más, flash comenzó a andar mejor (aunque no como uno desearía). En cambio, los videos seguían andando mal…

El problema, era básicamente que al usar la gui SMPlayer para MPlayer, no se utilizaban los drivers win32 essential, más allá de que el driver de video y sonido parecía andar mal. Siempre he usado la gui por defecto, GMPlayer, pero el problema estaba en que no podía ver el video en pantalla completa, lo cual fue la primera vez que me pasó. Sinceramente, pensé que SMPlayer era la mejor gui de MPlayer, pero después de darme cuenta del problema, hice una pequeña búsqueda en google para dar como ver los videos en pantalla completa. Finalmente, encontré que solamente había que activar el zoom, colocando una línea zoom=yes en el archivo de configuración de MPlayer.

De igual manera, Firefox y Flash Player tienen sus malos momentos, y VirtualBox parece andar igual que antes. He probado Opera 9.50, el cual sigue tan ligero como siempre, aunque en rendimientos y velocidad sigue siendo mejor Firefox 3.

Al final, me he quedado en Debian, aunque estoy esperando la versión final de Gentoo 2008, a ver que tal me va. En estos días, escribiré algo sobre los programas que uso en esta distro., y pondré también unos tutoriales, así que al que le interesa, esté atento.

Salu2

Artículos relacionados:





Enviar a… VirusTotal

22 04 2008

Hola

Como es la primera vez que hablo sobres este servicio, y seguramente halla alguno que no lo conozca, les voy a dar a conocer un poco de que se trata. VirusTotal.com es un multi-escaner online de archivos, que significa que está formado por múltiples motores AntiVirus, que nos permite analizar con más de 30 AntiVirus a la vez.

El servicio utiliza AntiVirus en versiones de líneas de comando, aunque si bien no dan los mismos resultados ya que tienen el nivel de detección más limitado que las versiones personales, los resultados son en la mayoría de los casos bastante buenos.

La lista de AntiVirus es la siguiente:

Simplemente accedemos a la página, elegimos el archivo a analizar, el servidor analiza nuestro archivo (el proceso tarda unos minutos) y nos devuelve un reporte con los resultados de cada AntiVirus, de otras herramientas de utilidad como PEiD y Prevx, y otro tipo de información del archivo como las funciones externas que usa (si el archivo es un ejecutable), la estructura del mismo, el tipo de archivo, etc

Ahora, ¿cómo utilizar este servicio? Sinceramente no tengo muchas ganas de explicar en palabras como funciona, así que mejor miren este croquis didáctico, para que vean como se hace:

Una vez presentado este servicio a los mal informados, les voy a mostrar algo a los que si los están que quizás les sea de mucha ayuda, especialmente si suelen usarlo muy seguido.

VirusTotal Uploader

Este programa nos permite subir los archivos a VirusTotal mediante un ejecutable, e incluye un plugin para el menú contextual de tal forma que podamos analizar un archivo fácilmente. De esta manera podremos tener una opinión bastante contundente acerca si el archivo es uan infección o no, mediante solo unos clics.

Podemos descargar el programa desde la página de VirusTotal.

Enviar mediante el menú contextual

Programa enviando archivo

Es más, si tienes un poco de ingenio, puede resultar muy útil para automatizar tareas; por ejemplo, yo he configurado Windows Live Messenger, para que utilize como AntiVirus el ejecutable del programa, de tal manera que cada vez que recibo un ejecutable por esta vía, sea analizado automáticamente:

Espero que les sea de utilidad 🙂

Salu2





Parche al español del SUPERAntiSpyware

21 04 2008

Hola

Esta vez les escribo para recomendarles una parche de traducción para uno de los mejores AntiMalwares modernos, el SUPERAntiSpyware.

Esta herramienta detecta y elimina multitud de spywares, adwares, troyanos e infecciones en general, con la posibilidad de obtener una versión de pago con protección en tiempo real.

El único problema que les puede presentar a ciertas personas, es que únicamente se encuentra en inglés.

La solución es muy sencilla, pueden instalar este parche al español no oficial, el cual pueden descargar de la web amiga de ForoSpyware:



Parche traductor




Programa traducido

Se los recomiendo ya que como les dije esta herramienta es muy efectiva, y fue creada por este humilde servidor 🙂

Agradezco críticas y comentarios.

Salu2





RegUnlocker 1.9.40 RC2

21 04 2008

Hola gente

He estado bastante ocupado últimamente, pero por suerte pude dedicarle un tiempo a este lugar.

Les presento una nueva versión de RegUnlocker, la cual no tiene ninguna función nueva, aunque le he corregido algunos detalles para que ande mejor:

  • Desbloqueo del registro por defecto
  • Corregidos los errores de creación de copias de seguridad
  • Corregido el error del comctl32.ocx
  • Funciones enumeradas
  • Idiomas: Inglés y Español




Español

Inglés

Cualquier crítica o comentario es bien recibido.

Salu2





Mozilla Firefox 3 BETA 5

3 04 2008

Hola a todos

Hace mucho que no me pasaba por aquí, debido a falta de tiempo y otras cosas que verán dentro de poco, pero como ya hable sobre la versión anterior no podía dejarlo pasar. Hay varios aspectos que quiero recalcar sobre esta nueva versión, y que tampoco he podido de la anterior, por lo cual lo haré todo en este. Aquí va mi análisis y mi opinión sobre Firefox 3 BETA 5.

En primer lugar, veamos las nuevas mejoras que trae esta versión:

Mejor integración con sistemas operativos: ahora Firefox utiliza los temas, iconos y estilos de los sistemas operativos Microsoft Windows, MacOS y GNU/Linux GTK.

Organizador de lugares: ahora puedes visualizar, organizar y buscar en todos tus marcadores, tags e historial de búsqueda a través de múltiples vistas y carpetas inteligentes para almacenar tus búsquedas frecuentes. También puedes crear y restaurar copias de seguridad cuando tu quieras.

Velocidad: mejoras en el motor JavaScript así como las dirigidas a las optimizaciones de perfil siguen mejorando la perfonmance. Comparado con Firefox 2, las aplicaciones web como Google Mail y Zoho Office funcionan el doble de rápido en Firefox 3 Beta 5, y el popular SunSpider test de Apple mustra mejoras con respecto a versiones anteriores.

Para ver todas las notas del release originales vea la página oficial en inglés.

Una vez expuesta las mejoras expuestas según Mozilla, que si bien son importantes no siempre son las más correctas, vallamos un poco más lejos y veamos que podemos ver en esta versión, y a ampliar un poco las mejoras que tiene esta nueva versión.

Si me preguntan a mí si noto un incremento de velocidad, la verdad es que sí, sobretodo como dice en las release notes en aplicaciones web, o al ver videos flash, por ejemplo. GMail funciona com una fluidez jamás vista, y los servicios de video como YouTube y MegaVideo parecen funcionar mejor.

Aunque como dije anteriormente, si bien esta versión es más veloz, tiene un alto consumo de memoria RAM, que para algunos equipos es una contra muy grande, y para otros realmente no es muy importante.

Ahora, ¿qué tan elevado es este consumo con respecto a otros navegadores?

Pues, voy a intentar ser lo más gráfico posible:

Barra de tareas

Para el que no tiene ganas de contar, le resumo que en esa imagen hay 25 ventantas abiertas de Firefox y otras 25 de Opera.

Ahora veamos los consumos de recursos de cada uno de los procesos:

Firefox

Firefox 3 BETA 4 - Consumo de memoria

Opera

Opera 9 - Consumo de memoria

No hay que saber mucho inglés para entender lo que hay en las imágenes. Definitivamente Firefox consume tres veces más memoria que Opera, y consume más recursos del microprocesador. Cabe destacar que cada ventana de Internet Explorer consume aproximadamente 25 MB, por lo cual si hacen el cálculo sabrán que 25 ventanas consumirían unos 625 MB, la verdad no hay palabras para esta cifra.

También quiero dejar claro, que el consumo de memoria no es proporcional a la velocidad de la aplicación, es decir que consuma más memoria no quiere decir que sea más lento. Por eso ahora viene la segunda pregunta.

¿Es más rápido Firefox 3 que otros navegadores?

Realmente es una pregunta la cual respuesta es difícil de comprobar, aunque tenemos varios tests para verificarlo. Entre los más destacados, podemos mencionar el SunSpider JavaScript Benchmark, el cual nos permite testear el rendimiento (tiempo de proceso) de JavaScript en los navegadores. Esta es la comparativa con respecto a los resultados de cada navegador:

SunSpider Graph

Como ven, Firefox se muestra como el ganador absoluto, y se muestra una leve mejoría entra la BETA 4 y la BETA 5, seguidos muy de cerca por Safari.  Opera e Internet Explorer duplican la velocidad de procesado.

Otro punto muy importante en los navegadores, es si cumplen o no con los estándares, algo muy importante si quieres un navegador que te permita visualizar todas las páginas y correr todas las aplicaciones correctamente. Para verificar esto, existe el famoso test Acid 3, de la página Web Standards Project. Aquí tenemos la comparativa de este test:

Acid 3 Graph

Si bien Safari se lleva el trofeo, es seguido por muy poco por Firefox, superando notablemente a Opera.

Esto confirma lo antedicho, que el consumo sea más alto no necesariamente significa que la velocidad sea menor.

¿Qué tan seguro es Firefox?

La pregunta que sí tiene respuesta, Firefox es el navegador más seguro. Firefox 3 incluye una larga lista de sitios maliciosos en su lista negra, por lo que si intentas acceder a ellos te encontrarás con una página como esta, además de ser el navegador del cual se resuelven más cantidad bugs en menos cantidad de tiempo, lo que para mí es lo más importante. Si quieres un navegador seguro, Firefox es la mejor elección sin duda alguna.

Conclusiones

Firefox consume mucha memoria, eso no se puede negar, aunque es un precio que hay que pagar por una navegador tan completo, con tantos plugins, con una seguridad excelente, y una perfonmance insuperable. Todavía falta para la liberación de la versión final, aunque las espectativas son grandes. Si tu equipo te lo permite, te recomiendo este navegador.

Se espera que la próxima versión sea la final, por lo cual intentaré analizarla nuevamente, y quizás haga una comparación con Opera, el cual para mí es otro de los mejores navegadores.

Agradezco cualquier crítica y comentario, como siempre.

Descarga Firefox 3 BETA 5 – Mozilla.com

Salu2





El viejo bug del NTDLL

13 03 2008

Hola

Hoy he estado leyendo sobre una herramienta en cuestión, la cual también he probado, y fue bastante grande mi sorpresa al ver que un archivo que creaba la misma, no podía ser eliminado. Pero lo sorprendente no fue el hecho de no poder eliminarlo, si no porque me pareció increíble que un bug tan viejo de Windows siguiera sin resolverse. Hacía ya hace meses que conozco ese bug (por no decir más de un año) y pensé que ya se había solucionado, ya que para ese momento no tenía correctamente actualizado Windows, sumado a que varias páginas mencionan que el bug fue parcheado, cuando no es así.

Como dice el título, concretamente el problema se encuentra en la librería NTDLL.DLL (una de las librería más importantes de Windows) en la funciones RtlpWin32NTNameToNtPathName_U y RtlGetFullPathName_Ustr, que son las que se encargan de chequear las rutas de los archivos. Windows NT utiliza un estilo diferente de nombrado de archivos a los basados en DOS (debido al NTFS), es decir, que admite diferentes tipos de carácteres que antes no podían utilizarse. Po ejemplo, los espacios al final del archivo, lo cual es lo que genera esta vulnerabilidad. Es decir, que cuando intentamos acceder a un archivo que tiene peculiaridades del estilo NT (espacios al final, en este caso) mediante funciones basadas en DOS, no podremos acceder al mismo, ya que los espacios del final son eliminados por la función de chequeo de ruta y pasado un nombre de archivo incorrecto. Para los que no entendieron esta explicación, aquí va una explicación más sencilla:

  • Tenemos un archivo llamado “C:\archivo   ” (con tres espacios al final)
  • Un programa intenta acceder a “C:\archivo   “
  • Se llama la función RtlpWin32NTNameToNtPathName_U para verificar la ruta “C:\archivo   “
  • RtlpWin32NTNameToNtPathName_U automáticamente elimina los últimos tres espacios en blanco.
  • RtlpWin32NTNameToNtPathName_U devuelve la ruta “C:\archivo”, sin los espacios al final.
  • En vez de acceder a “C:\archivo   “, en realidad accedemos a “C:\archivo”, que no existe, o bien es otro archivo diferente.

Como verán, el problema es que al acceder al archivo en cuestión, en realidad estamos accediendo a otro, y con lo de acceder me refiero a modificar, copiar y eliminar.

Las librerías afectadas por este bug (o error de diseño, como quieran llamarle) son las siguientes:

    	
  • acledit.dll
  • ADVAPI32.DLL
  • cscdll.dll
  • CSRSRV.DLL
  • dskquoui.dll
  • EVENTLOG.DLL
  • GDI32.DLL
  • ifsutil.dll
  • KERNEL32.DLL
  • LSASRV.DLL
  • ntmarta.dll
  • OLE32.DLL
  • perfproc.dll
  • query.dll
  • rshx32.dll
  • scesrv.dll
  • sdbapiu.dll
  • setupdll.dll
  • sfc.dll
  • SHELL32.DLL
  • shim.dll
  • srvsvc.dll
  • trkwks.dll
  • ulib.dll
  • wow32.dll
  • AUTOCHK.EXE
  • autoconv.exe
  • autofmt.exe
  • NTVDM.EXE
  • os2srv.exe
  • posix.exe
  • regsvc.exe
  • SERVICES.EXE
  • smss.exe
  • WINLOGON.EXE

Las funciones afectadas son las siguientes:

    	
  • GetShortPathNameW
  • CopyFileW
  • MoveFileW
  • MoveFileExW
  • ReplaceFileW
  • CreateMailslotW
  • GetFileAttributesW
  • FindFirstFileExW
  • CreateFileW
  • GetVolumeInformationW
  • DeleteFileW
  • GetDriveTypeW
  • GetFileAttributesExW
  • CreateDirectoryW
  • FindFirstChangeNotificationW
  • GetBinaryTypeW
  • CreateNamedPipeW
  • SetFileAttributesW
  • MoveFileWithProgressW
  • GetVolumeNameForVolumeMountPointW
  • GetDiskFreeSpaceW
  • CreateDirectoryExW
  • DefineDosDeviceW
  • PrivMoveFileIdentityW
  • GetCompressedFileSizeW
  • SetVolumeLabelW
  • CreateHardLinkW
  • RemoveDirectoryW

Cualquier programador podrá darse cuenta de la potencialidad de esta vulnerabilidad, más aún si es utilizado con algún fin malicioso, como por ejemplo, una infección. Es más, la mayoría de los antivirus son vulnerables a este, lo que significa que al querer acceder a un archivo, no se podría o se estaría accediendo a otro, e imposibilitaría el análisis del mismo, lo cual demuestra obviamente que es un error de diseño bastante peligroso. En mi caso, uso NOD32 AntiVirus, el cual parece ser vulnerable al problema.

¿Cómo saber si mi AntiVirus es vulnerable?

Para verificar esto, sin riesgo alguno, podemos usar el test EICAR:

La prueba EICAR consiste en un archivo que sirve para comprobar la eficacia de los programas antivirus. La ventaja que tiene sobre otras comprobaciones es que el equipo queda libre de riesgos. Se trata de un inofensivo archivo de texto.

Consiste en copiar la siguiente cadena de caracteres:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

En el bloc de notas, y guardarlo con una extensión .com Un antivirus con protección en tiempo real debería detectarlo inmediatamente. Un escaneo en busca de virus también debería detectarlo. Esta prueba ya no es demasiado eficaz, es antigua y muy conocida por todos los fabricantes de software.

La idea es crear un archivo EICAR con espacios al final, para luego ver si el antivirus puede analizarlo y/o detectarlo.

Ahora, ¿Cómo acceder a estos archivos?, muy simple, utilizando el estilo de redirección NTFS, o alguno que no sea vulnerable. Para este caso, ralizamos lo siguiente:

1. – Desactivamos nuestra protección antivirus residente temporalmente para crear el archivo.

2. – Vamos a Inicio, Ejecutar… y tipeamos el siguiente comando:

  • type nul > “\\?\C:\eicar   “
  • notepad  “\\?\C:\eicar   “

En el caso de querer utilizar la carpeta raíz del disco C:\, y es muy importante poner uno o más espacios antes de la última comilla (“). Podrán ver que se abrirá el Bloc de Notas.

3. – Copiamos el siguiente texto al Bloc de Notas:

  • X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Luego, vamos al menú Archivo, y presionamos en Guardar…, o presionamos Ctrl + G.

4. – Una vez creado el archivo EICAR, reactivamos la protección antivirus, y analizamos el archivo.

En el caso de que el archivo no pueda ser analizado o nos de un error de que el archivo no existe, nuestro AntiVirus será vulnerable.

Si no fuera vulnerable, el archivo sería detectado al analizarlo o al hacerle clic (estando el residente activo, claro).



¿Cómo eliminar un archivo de este tipo?

Por ejemplo si quisieramos eliminar el “C:\archivo   ” del primer ejemplo, deberíamos ejecutar este comando:

  • del “\\?\C:\archivo   “

Obviamente, además podemos usar otras funciones y aplicaciones (aunque como dije, la gran mayoría son vulnerables) añadiendo la cadena de carácteres \\?\ al principio de la ruta.

Conclusiones

Este problema es grave, como ya venía diciendo, a nivel programático y también a nivel seguridad. La gran mayoría de los salvaguardas (AntiVirus, AntiSpywares, Firewalls), así que lo mejor sería una solución por parte de Microsoft. Cabe destacar que si nuestro AntiVirus residente está activado y es efectivo, la creación de un archivo será interceptada, únicamente si el archivo en cuestión se encuentra en la base de datos del software. Sinceramente, ver fallos como estos por parte de Microsoft, comienzo a recordar algunos de los motivos del porque uso Debian 😐

Cualquier comentario es bien recibido, y agradecería que informen si su AntiVirus es vulnerable o no, para poder tener una lista de esto.

Salu2