Parche de traducción de SUPERAntiSpyware 4.15.1000

16 06 2008

Hola

Esto tendría que haber salido hace semanas, pero se ha actualizado el parche de traducción del SUPERAntiSpyware para la versión 4.15.1000:

Pueden descargarlo desde el mismo lugar de siempre:

SUPERAntiSpyware Parche de traducción al español – ForoSpyware.com

Trataré de informar por aquí también cada vez que salga una nueva versión, y agradezco a los que pasen la voz.

Salu2





Enviar a… VirusTotal

22 04 2008

Hola

Como es la primera vez que hablo sobres este servicio, y seguramente halla alguno que no lo conozca, les voy a dar a conocer un poco de que se trata. VirusTotal.com es un multi-escaner online de archivos, que significa que está formado por múltiples motores AntiVirus, que nos permite analizar con más de 30 AntiVirus a la vez.

El servicio utiliza AntiVirus en versiones de líneas de comando, aunque si bien no dan los mismos resultados ya que tienen el nivel de detección más limitado que las versiones personales, los resultados son en la mayoría de los casos bastante buenos.

La lista de AntiVirus es la siguiente:

Simplemente accedemos a la página, elegimos el archivo a analizar, el servidor analiza nuestro archivo (el proceso tarda unos minutos) y nos devuelve un reporte con los resultados de cada AntiVirus, de otras herramientas de utilidad como PEiD y Prevx, y otro tipo de información del archivo como las funciones externas que usa (si el archivo es un ejecutable), la estructura del mismo, el tipo de archivo, etc

Ahora, ¿cómo utilizar este servicio? Sinceramente no tengo muchas ganas de explicar en palabras como funciona, así que mejor miren este croquis didáctico, para que vean como se hace:

Una vez presentado este servicio a los mal informados, les voy a mostrar algo a los que si los están que quizás les sea de mucha ayuda, especialmente si suelen usarlo muy seguido.

VirusTotal Uploader

Este programa nos permite subir los archivos a VirusTotal mediante un ejecutable, e incluye un plugin para el menú contextual de tal forma que podamos analizar un archivo fácilmente. De esta manera podremos tener una opinión bastante contundente acerca si el archivo es uan infección o no, mediante solo unos clics.

Podemos descargar el programa desde la página de VirusTotal.

Enviar mediante el menú contextual

Programa enviando archivo

Es más, si tienes un poco de ingenio, puede resultar muy útil para automatizar tareas; por ejemplo, yo he configurado Windows Live Messenger, para que utilize como AntiVirus el ejecutable del programa, de tal manera que cada vez que recibo un ejecutable por esta vía, sea analizado automáticamente:

Espero que les sea de utilidad 🙂

Salu2





Parche al español del SUPERAntiSpyware

21 04 2008

Hola

Esta vez les escribo para recomendarles una parche de traducción para uno de los mejores AntiMalwares modernos, el SUPERAntiSpyware.

Esta herramienta detecta y elimina multitud de spywares, adwares, troyanos e infecciones en general, con la posibilidad de obtener una versión de pago con protección en tiempo real.

El único problema que les puede presentar a ciertas personas, es que únicamente se encuentra en inglés.

La solución es muy sencilla, pueden instalar este parche al español no oficial, el cual pueden descargar de la web amiga de ForoSpyware:



Parche traductor




Programa traducido

Se los recomiendo ya que como les dije esta herramienta es muy efectiva, y fue creada por este humilde servidor 🙂

Agradezco críticas y comentarios.

Salu2





RegUnlocker 1.9.40 RC2

21 04 2008

Hola gente

He estado bastante ocupado últimamente, pero por suerte pude dedicarle un tiempo a este lugar.

Les presento una nueva versión de RegUnlocker, la cual no tiene ninguna función nueva, aunque le he corregido algunos detalles para que ande mejor:

  • Desbloqueo del registro por defecto
  • Corregidos los errores de creación de copias de seguridad
  • Corregido el error del comctl32.ocx
  • Funciones enumeradas
  • Idiomas: Inglés y Español




Español

Inglés

Cualquier crítica o comentario es bien recibido.

Salu2





El viejo bug del NTDLL

13 03 2008

Hola

Hoy he estado leyendo sobre una herramienta en cuestión, la cual también he probado, y fue bastante grande mi sorpresa al ver que un archivo que creaba la misma, no podía ser eliminado. Pero lo sorprendente no fue el hecho de no poder eliminarlo, si no porque me pareció increíble que un bug tan viejo de Windows siguiera sin resolverse. Hacía ya hace meses que conozco ese bug (por no decir más de un año) y pensé que ya se había solucionado, ya que para ese momento no tenía correctamente actualizado Windows, sumado a que varias páginas mencionan que el bug fue parcheado, cuando no es así.

Como dice el título, concretamente el problema se encuentra en la librería NTDLL.DLL (una de las librería más importantes de Windows) en la funciones RtlpWin32NTNameToNtPathName_U y RtlGetFullPathName_Ustr, que son las que se encargan de chequear las rutas de los archivos. Windows NT utiliza un estilo diferente de nombrado de archivos a los basados en DOS (debido al NTFS), es decir, que admite diferentes tipos de carácteres que antes no podían utilizarse. Po ejemplo, los espacios al final del archivo, lo cual es lo que genera esta vulnerabilidad. Es decir, que cuando intentamos acceder a un archivo que tiene peculiaridades del estilo NT (espacios al final, en este caso) mediante funciones basadas en DOS, no podremos acceder al mismo, ya que los espacios del final son eliminados por la función de chequeo de ruta y pasado un nombre de archivo incorrecto. Para los que no entendieron esta explicación, aquí va una explicación más sencilla:

  • Tenemos un archivo llamado “C:\archivo   ” (con tres espacios al final)
  • Un programa intenta acceder a “C:\archivo   “
  • Se llama la función RtlpWin32NTNameToNtPathName_U para verificar la ruta “C:\archivo   “
  • RtlpWin32NTNameToNtPathName_U automáticamente elimina los últimos tres espacios en blanco.
  • RtlpWin32NTNameToNtPathName_U devuelve la ruta “C:\archivo”, sin los espacios al final.
  • En vez de acceder a “C:\archivo   “, en realidad accedemos a “C:\archivo”, que no existe, o bien es otro archivo diferente.

Como verán, el problema es que al acceder al archivo en cuestión, en realidad estamos accediendo a otro, y con lo de acceder me refiero a modificar, copiar y eliminar.

Las librerías afectadas por este bug (o error de diseño, como quieran llamarle) son las siguientes:

    	
  • acledit.dll
  • ADVAPI32.DLL
  • cscdll.dll
  • CSRSRV.DLL
  • dskquoui.dll
  • EVENTLOG.DLL
  • GDI32.DLL
  • ifsutil.dll
  • KERNEL32.DLL
  • LSASRV.DLL
  • ntmarta.dll
  • OLE32.DLL
  • perfproc.dll
  • query.dll
  • rshx32.dll
  • scesrv.dll
  • sdbapiu.dll
  • setupdll.dll
  • sfc.dll
  • SHELL32.DLL
  • shim.dll
  • srvsvc.dll
  • trkwks.dll
  • ulib.dll
  • wow32.dll
  • AUTOCHK.EXE
  • autoconv.exe
  • autofmt.exe
  • NTVDM.EXE
  • os2srv.exe
  • posix.exe
  • regsvc.exe
  • SERVICES.EXE
  • smss.exe
  • WINLOGON.EXE

Las funciones afectadas son las siguientes:

    	
  • GetShortPathNameW
  • CopyFileW
  • MoveFileW
  • MoveFileExW
  • ReplaceFileW
  • CreateMailslotW
  • GetFileAttributesW
  • FindFirstFileExW
  • CreateFileW
  • GetVolumeInformationW
  • DeleteFileW
  • GetDriveTypeW
  • GetFileAttributesExW
  • CreateDirectoryW
  • FindFirstChangeNotificationW
  • GetBinaryTypeW
  • CreateNamedPipeW
  • SetFileAttributesW
  • MoveFileWithProgressW
  • GetVolumeNameForVolumeMountPointW
  • GetDiskFreeSpaceW
  • CreateDirectoryExW
  • DefineDosDeviceW
  • PrivMoveFileIdentityW
  • GetCompressedFileSizeW
  • SetVolumeLabelW
  • CreateHardLinkW
  • RemoveDirectoryW

Cualquier programador podrá darse cuenta de la potencialidad de esta vulnerabilidad, más aún si es utilizado con algún fin malicioso, como por ejemplo, una infección. Es más, la mayoría de los antivirus son vulnerables a este, lo que significa que al querer acceder a un archivo, no se podría o se estaría accediendo a otro, e imposibilitaría el análisis del mismo, lo cual demuestra obviamente que es un error de diseño bastante peligroso. En mi caso, uso NOD32 AntiVirus, el cual parece ser vulnerable al problema.

¿Cómo saber si mi AntiVirus es vulnerable?

Para verificar esto, sin riesgo alguno, podemos usar el test EICAR:

La prueba EICAR consiste en un archivo que sirve para comprobar la eficacia de los programas antivirus. La ventaja que tiene sobre otras comprobaciones es que el equipo queda libre de riesgos. Se trata de un inofensivo archivo de texto.

Consiste en copiar la siguiente cadena de caracteres:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

En el bloc de notas, y guardarlo con una extensión .com Un antivirus con protección en tiempo real debería detectarlo inmediatamente. Un escaneo en busca de virus también debería detectarlo. Esta prueba ya no es demasiado eficaz, es antigua y muy conocida por todos los fabricantes de software.

La idea es crear un archivo EICAR con espacios al final, para luego ver si el antivirus puede analizarlo y/o detectarlo.

Ahora, ¿Cómo acceder a estos archivos?, muy simple, utilizando el estilo de redirección NTFS, o alguno que no sea vulnerable. Para este caso, ralizamos lo siguiente:

1. – Desactivamos nuestra protección antivirus residente temporalmente para crear el archivo.

2. – Vamos a Inicio, Ejecutar… y tipeamos el siguiente comando:

  • type nul > “\\?\C:\eicar   “
  • notepad  “\\?\C:\eicar   “

En el caso de querer utilizar la carpeta raíz del disco C:\, y es muy importante poner uno o más espacios antes de la última comilla (“). Podrán ver que se abrirá el Bloc de Notas.

3. – Copiamos el siguiente texto al Bloc de Notas:

  • X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Luego, vamos al menú Archivo, y presionamos en Guardar…, o presionamos Ctrl + G.

4. – Una vez creado el archivo EICAR, reactivamos la protección antivirus, y analizamos el archivo.

En el caso de que el archivo no pueda ser analizado o nos de un error de que el archivo no existe, nuestro AntiVirus será vulnerable.

Si no fuera vulnerable, el archivo sería detectado al analizarlo o al hacerle clic (estando el residente activo, claro).



¿Cómo eliminar un archivo de este tipo?

Por ejemplo si quisieramos eliminar el “C:\archivo   ” del primer ejemplo, deberíamos ejecutar este comando:

  • del “\\?\C:\archivo   “

Obviamente, además podemos usar otras funciones y aplicaciones (aunque como dije, la gran mayoría son vulnerables) añadiendo la cadena de carácteres \\?\ al principio de la ruta.

Conclusiones

Este problema es grave, como ya venía diciendo, a nivel programático y también a nivel seguridad. La gran mayoría de los salvaguardas (AntiVirus, AntiSpywares, Firewalls), así que lo mejor sería una solución por parte de Microsoft. Cabe destacar que si nuestro AntiVirus residente está activado y es efectivo, la creación de un archivo será interceptada, únicamente si el archivo en cuestión se encuentra en la base de datos del software. Sinceramente, ver fallos como estos por parte de Microsoft, comienzo a recordar algunos de los motivos del porque uso Debian 😐

Cualquier comentario es bien recibido, y agradecería que informen si su AntiVirus es vulnerable o no, para poder tener una lista de esto.

Salu2





Mozilla Firefox 3 BETA 4

12 03 2008

No podía faltar yo 🙂

Como se viene anunciando ya en varios lados, Mozilla ha lanzado la  cuarta BETA del navegador Firefox 3. Por lo personal, he estado esperando esta versión, ya que se viene comentando desde hace ratoen sitios como Slashdot (27/02/08 – Firefox 3 Performance Gets a Boost) que esta versión mejora bastante su rendimiento, y les puedo asegurar que mis primeras impresiones confirmaron lo dicho: se ha incrementado notablemente la velocidad a nivel pestañas; la carga de páginas es mucho más ligera; mayor velocidad en páginas con Flash (YouTube, por ejemplo), AJAX y todavía no lo he confirmado pero según dicen también con JavaScript.

Sobre el consumo de memoria, ha subido bastante a mi parecer, pero es un efecto consecuente de tantas mejoras, de igual manera, aquí les dejo un screeenshot de la memoria ocupada por una sola instancia del navegador pero con 8 pestañas abiertas:

Firefox 3 BETA 4 - Administrador de tareas

Como verán, son unos cuantos MB :S si bien hay que tener en cuenta que con los computadores modernos no deberían tener problema con esa cantidad de memoria, pero muchísima gente tiene máquinas de pocos recursos, y para estas es todo un problema, es decir, para una máquina que cuenta con 512Mb de memoria RAM, no supondá un problema (a menos que se trabaje con apliaciones pesadas, como Máquinas virtuales o juegos, claro está), pero para un equipo con 256 MB, será no solo poco recomendable, si no imposibe de utilizar.

Lamnetablemente todavía no he tenido la oportunidad de probarlo en ninguna distribución GNU/Linux, aunque lo haré cuando pueda.

Descarga:

El que entiende Inglés, puede ver las Release Notes aquí.

http://www.mozilla.com/en-US/firefox/3.0b3/releasenotes/

En fin, ya veremos que tal va este navegador, hasta ahora me ha gustado bastante, aunque todavía hay bastantes cosas que probar y ver que repercusiones produce.

Espero que me dejen sus comentarios.

Salu2





Enlaces simbólicos en Windows

29 02 2008

Hola

Aunque no lo crean, soy usuario de Linux Debian, pero lamentablemente en estos momentos me encuentro atado en el mundo de M$ Windows para realizar ciertas cosas, como las que encuentran en esta página. Hay varias cosas que extraño de Linux, muchísimas, especialmente la perfonmance y configurabilidad que las distribuciones basadas en Linux me ofrecen.

Hay otras funciones que realmente extraño, como por ejemplo los enlaces simbólicos, los cuales me ayudaban mucho para mantener mis carpetas y archivos organizados y fácil de acceder. Para los que no conocen este término, vallamos a Wikipedia:

Un enlace simbólico, en sistemas unix o linux, indica un acceso a un directorio o fichero que no es real, sino un enlace a otro, que se encuentra en un lugar distinto dentro de la estructura de directorios. Una modificación realizada utilizando este enlace se reflejará en el original; pero, por el contrario, si se elimina el enlace, no se eliminará el auténtico.

Demos un ejemplo:
Supongamos que tenemos un disco con dos particiones. En la unidad C:, que es donde alojamos todos los programas, está congelada con DeepFreeze, y cada vez que reiniciamos el equipo se restaurará a tal como estaba al inicarse, para de esta manera evitar infecciones y conservar la configuración que queramos. Entonces, utilizamos la unidad D: para almacenar los datos que no queremos que se pierdan al reiniciar, y configuramos todas las aplicaciones para que guarden todos sus datos directamente en esa partición. Pero , también supongamos, que estamos jugando un videojuego de código cerrado, el cual guarda los datos y las partidas guardadas del mismo en esta carpeta, la cual no podemos cambiar:

C:Documents and Settings\Usuario\Datos de programa\Videojuego

Si el juego utilizaría una ruta diferente, como por ejemplo la misma carpeta donde se instaló el juego, podríamos tranquilamente haberlo instalado en el disco D:, entonces los datos del mismo estarían siempre a salvo. Pero, lamentablemente en este caso, deberíamos cambiar la ruta de toda la carpeta “Usuario” desde el registro, lo cual sería bastante imprudente, y además, perdería sentido tener la partición congelada con DeepFreeze, ya que esta es la carpeta en donde se guardan todas las configuraciones del usuario. Para solucionar este problema, lo que generalmente se hace es mover los datos antes de reiniciar la máquina, ya sea manualmente o mediante un programa.

Ahora, ¿No sería mucho mejor si el juego guardara directamente los datos en la partición D:? Por supuesto que sí, y para esto existen dos soluciones:

  • Editar el juego para que guarde los datos en una carpeta personalizada, lo cual es bastante complicado en la mayoría de los casos, además de ser ilegal.
  • Crear un enlace simbólico, que valla desde la carpeta “Videojuego”, a otra carpeta del disco D:. Es decir, que cuando el juego abra esa carpeta, en realidad lo que estará haciendo es acceder a la partición D:.

La mejor es la segunda opción, gracias a la herramienta junction, creada por SysInternals, que nos permite crear enlaces simbólicos en Windows bajo el sistema de archivos NTFS. En este caso, para dar la solución al ejemplo, mediante una consola ejecutamos el siguiente comando:

junction.exe “D:\datos de juego” “C:\Documents and Settings\Usuario\Datos de programa\Videojuego”

De esta manera, cuando el juego guarde sus datos. serán “redirigidos” a la carpeta disco “D:\datos de juegos” .

Ahora, saliendo del ejemplo, la sintaxis del programa es la siguiente:

junction.exe “ENLACE” “DESTINO_DEL_ENLACE”

Si quisieramos eliminar el enlace, es muy importante que lo hagamos con el siguiente comando:

junction.exe -d “ENLACE”

¡ATENCIÓN!
A diferencia de los sistemas operativos Unix/Linux, si eliminamos el enlace mediante el explorador, eliminaremos el contenido de la carpeta. Por lo cual hay que tener cuidado con esto. Tampoco podemos crear enlaces hacia archivos, solo a carpetas.

Así que ya saben, ahora pueden jugar con este programa, por mi parte cambie el nombre del archivo junction.exe a ln.exe (es el comando en las distribuciones Linux) y lo moví a la carpeta System32 del directorio Windows, para tenerlo integrado en la consola.

Seguramente a más de uno le puede servir para algo en específico, además les puede servir para muchísimas cosas, como para ahorrar espacio, organizar carpetas, o acortar rutas.

Espero que a alguien le sirva.

Salu2