Al igual que en medicina: La persona mas sana es la que esta muerta, por que es la menos propensa a enfermarse.
Con la computadora es igual. Cualquier computadora es vulnerable. No hay ningun antivirus que te proteja que sea 100% efectivo contra todos los virus ni troyanos ni gusanos.
Hasta las computadoras que no tienen conexión a internet se pueden infectar nada mas conectandole un pen drive.
La mejor combinacion de seguridad es:
Un antivirus actualizado y si es posible uno no muy conocido. Algunos bichitos estan diseñados especificamente con el objetivo de hacer pija a los antivirus. Lógicamente los antivirus más conocidos son los que mas expuestos estan a este tipo de software malicioso, casualmente por ser los mas conocidos y los mas usados.
Un buen firewall bien configurado. El de windows apesta, sabelo. Algunos modems-routers incluyen firewalls que sirven contra ataques DOS (Denail of Service) o POD (Ping of Death).
Y la herramienta más útil: el sentido común. A mi criterio, lo mas peligroso para una computadora es la ignorancia de la persona que se sienta en frente.
Sentido común significa que si estas en MSN y alguien te dice "¿Esta foto es tuya?" y a continuacion envía un archivo que termina en ".exe" o ".com" da lugar a sospechas. Ejemplos:
"imagen-0047.jpeg www.fotolog.com"
Aunque diga "JPEG" la extension real esta camuflada bajo "fotolog.com".
Hay gusanos de MSN que hacen ese tipo de cosas sin que la victima sepa que esta infectado. Por eso es un gusano. No se manifiesta y se exparse.
Al abrir el archivo te convertis en una nueva víctima, y automáticamente empezas a mandar mensajes similares a todos tus contactos sin que vos lo sepas.
Otra cosa a tener en cuenta es el tamaño del archivo. Si se trata de una imagen JPG podemos esperar que el archivo sea mayor a 100KB. Si es menor puede ser: un bicho o realmente una imagen JPG muy muy chiquita y de baja calidad.
Y hablando de gusanos, hay otro tipo de gusanos que como ya mencioné se exparsen por medios extraíbles (Pen Drive) utilizando la característica de windows de reproducción automática:
En windows existe un archivo denominado "autorun.inf" que le indica al sistema qué debe hacer cuando el usuario hace doble click sobre la unidad. Esto es usado, por ejemplo en los juegos, donde el autorun.inf señala que cuando pones el CD/DVD se debe iniciar automáticamente la instalacion.
Si abrimos el archivo autorun.inf de un CD/DVD de un juego encontrariamos algo como esto:
De la misma forma, los gusanos crean estos archivos en los medios extraíbles (pen drive o disco externo) apuntando a si mismos. Entonces, cada vez que lo conectas y cada vez que le hagas doble clickse ejecuta el gusano. Lo llevas a otra compu y pum, la infectas. Ahora conectas un pen drive limpio y pum, también se infecta.
Una forma de evitarlo es crear una carpeta de nombre "autorun.inf" y ponerle el atributo de "sólo lectura" en todos los discos rígidos, particiones y medios extraíbles.
Así el bicho se puede copiar pero no se auto-ejecuta al hacerle doble click.
Los "cybers" tienen una colección infinita de estos gusanos, pero teniendo la carpeta "autorun.inf" te salvas de infectar otras compus cuando lo enchufes.
Para ver si tenés algun bichito raro podes usar el Process Explorer . Este programita es como el administrador de tareas de windows (el famoso Ctrl + Alt + Del) pero muchisimo mas detallado:
Cada proceso tiene su icono, descripción y fabricante. Los procesos maliciosos no tienen icono ni descripción ni fabricante. Muchos tratan de imitar nombres de los procesos propios de windows.
Una vez vi uno con el nombre "cftmon.exe" imitando a "ctfmon.exe" (CTF Loader de Microsoft Windows).
Si encuentran algun proceso con estas características y sospechan que pueda ser un bichito busquen en google. Por ejemplo:
CTFMON process info
Si los resultados indican que es un proceso perteneciente a... "tal programa" significa que es seguro. En caso contrario... finalicen el proceso. Es posible que vuelva a aparecer, como si se volviera a ejecutar. Eso es por que hay un proceso secundario que se encarga de "revivirlo".
De ser así, pueden averiguar quién fue que lo revivió en donde dice "Parent" en las propiedades del proceso. (Botón derecho - Propiedades).
Muchas veces los hijos de puta se hacen copias en los lugares más insolitos.
Un par de veces encontré copias en "Mi Pc"
Para encontrar las copias de un proceso malicioso primero tienen que fijarse DESDE DONDE se esta ejecutando el proceso. Para eso van de nuevo a las propiedades y se fijan donde dice "Image Path". El 99.9% de las veces se ejecuta desde /Windows/System32/ y esta como archivo oculto.
Adivinen qué! El desgraciado tambien impide ver los archivos ocultos. No hay problema:
Regedit.exe:
En el panel de la derecha le asignan CheckedValue = 1.
Ok, ahora pueden ver los archivos ocultos. Van hasta donde esta el proceso malicioso. Lo abren con un editor de texto (Notepad :) copian una porción del código (si, ese monton de letras que no se entiende nada) y despues hacen una busqueda como esta:
Los virus son destructivos, se manifiestan rápidamente. La mayoría deshabilita el administrador de tareas y el editor de registro. El famoso cartel:
"El administrador de tareas ha sido deshabilitado por un administrador"
Para volver a habilitarlo pueden usar el Restore Restriction Tools
Inclusive algunos impiden que se inice el process explorer. Si es así pueden probar cambiandole el nombre.
Por defecto: "PROCEXP.EXE".
Yo le agregué una "P" más al final: "PROCEXPP.EXE"
Los bichos modifican el registro para que se ejecuten ni bien inicia windows.
Para ver los posibles cambios maliciosos en el registro pueden usar esta herramienta de TrendMicro:
HijackThis . Usenlo con MUCHISIMA precaucion. Usenlo para eliminar las entradas del registro correspondientes a los bichos que ya hayan detectado.
A veces los bichos simulan ser antivirus. Una vez un amigo me trajo la maquina con "Antivirus 2009". Le pregunté que carajo era eso y me dijo "ni dea, jaja". Me fijo y era un archivo solo de 600kb.
El mismo traía una copia del centro de seguridad de windows. Algo como este:
Con el sutil detalle de que estaba en inglés y mi amigo tenia instalado Windows XP en español :
Aleboso.
Ni bien iniciaba windows saltaba este centro de seguridad falso diciendo que el equipo estaba en riesgo.
También hay otros virus que hacen aparecer pop-ups diciendo cosas como "Se econtraron (394) archivos infectados, haz click aqui para continuar" o algo parecido. Irónico ¿No?. El mismo bicho anuncia que el equipo esta infectado y te instala "Antivirus 2009". JAJA.
Moraleja: no confíen en lo que ven.
Con la computadora es igual. Cualquier computadora es vulnerable. No hay ningun antivirus que te proteja que sea 100% efectivo contra todos los virus ni troyanos ni gusanos.
Hasta las computadoras que no tienen conexión a internet se pueden infectar nada mas conectandole un pen drive.
La mejor combinacion de seguridad es:
Un antivirus actualizado y si es posible uno no muy conocido. Algunos bichitos estan diseñados especificamente con el objetivo de hacer pija a los antivirus. Lógicamente los antivirus más conocidos son los que mas expuestos estan a este tipo de software malicioso, casualmente por ser los mas conocidos y los mas usados.
Un buen firewall bien configurado. El de windows apesta, sabelo. Algunos modems-routers incluyen firewalls que sirven contra ataques DOS (Denail of Service) o POD (Ping of Death).
Y la herramienta más útil: el sentido común. A mi criterio, lo mas peligroso para una computadora es la ignorancia de la persona que se sienta en frente.
Sentido común significa que si estas en MSN y alguien te dice "¿Esta foto es tuya?" y a continuacion envía un archivo que termina en ".exe" o ".com" da lugar a sospechas. Ejemplos:
"imagen-0047.jpeg www.fotolog.com"
Aunque diga "JPEG" la extension real esta camuflada bajo "fotolog.com".
Hay gusanos de MSN que hacen ese tipo de cosas sin que la victima sepa que esta infectado. Por eso es un gusano. No se manifiesta y se exparse.
Al abrir el archivo te convertis en una nueva víctima, y automáticamente empezas a mandar mensajes similares a todos tus contactos sin que vos lo sepas.
Otra cosa a tener en cuenta es el tamaño del archivo. Si se trata de una imagen JPG podemos esperar que el archivo sea mayor a 100KB. Si es menor puede ser: un bicho o realmente una imagen JPG muy muy chiquita y de baja calidad.
Y hablando de gusanos, hay otro tipo de gusanos que como ya mencioné se exparsen por medios extraíbles (Pen Drive) utilizando la característica de windows de reproducción automática:
En windows existe un archivo denominado "autorun.inf" que le indica al sistema qué debe hacer cuando el usuario hace doble click sobre la unidad. Esto es usado, por ejemplo en los juegos, donde el autorun.inf señala que cuando pones el CD/DVD se debe iniciar automáticamente la instalacion.
Si abrimos el archivo autorun.inf de un CD/DVD de un juego encontrariamos algo como esto:
[autorun]
open=Autorun.exe
Icon=ME_Icon.ico
Name=Mirror's Edge
De la misma forma, los gusanos crean estos archivos en los medios extraíbles (pen drive o disco externo) apuntando a si mismos. Entonces, cada vez que lo conectas y cada vez que le hagas doble clickse ejecuta el gusano. Lo llevas a otra compu y pum, la infectas. Ahora conectas un pen drive limpio y pum, también se infecta.
Una forma de evitarlo es crear una carpeta de nombre "autorun.inf" y ponerle el atributo de "sólo lectura" en todos los discos rígidos, particiones y medios extraíbles.
Así el bicho se puede copiar pero no se auto-ejecuta al hacerle doble click.
Los "cybers" tienen una colección infinita de estos gusanos, pero teniendo la carpeta "autorun.inf" te salvas de infectar otras compus cuando lo enchufes.
Para ver si tenés algun bichito raro podes usar el Process Explorer . Este programita es como el administrador de tareas de windows (el famoso Ctrl + Alt + Del) pero muchisimo mas detallado:
Cada proceso tiene su icono, descripción y fabricante. Los procesos maliciosos no tienen icono ni descripción ni fabricante. Muchos tratan de imitar nombres de los procesos propios de windows.
Una vez vi uno con el nombre "cftmon.exe" imitando a "ctfmon.exe" (CTF Loader de Microsoft Windows).
Si encuentran algun proceso con estas características y sospechan que pueda ser un bichito busquen en google. Por ejemplo:
CTFMON process info
Si los resultados indican que es un proceso perteneciente a... "tal programa" significa que es seguro. En caso contrario... finalicen el proceso. Es posible que vuelva a aparecer, como si se volviera a ejecutar. Eso es por que hay un proceso secundario que se encarga de "revivirlo".
De ser así, pueden averiguar quién fue que lo revivió en donde dice "Parent" en las propiedades del proceso. (Botón derecho - Propiedades).
Muchas veces los hijos de puta se hacen copias en los lugares más insolitos.
Un par de veces encontré copias en "Mi Pc"
Para encontrar las copias de un proceso malicioso primero tienen que fijarse DESDE DONDE se esta ejecutando el proceso. Para eso van de nuevo a las propiedades y se fijan donde dice "Image Path". El 99.9% de las veces se ejecuta desde /Windows/System32/ y esta como archivo oculto.
Adivinen qué! El desgraciado tambien impide ver los archivos ocultos. No hay problema:
Regedit.exe:
HKEY_LOCAL_MACHINE\Software\Microsoft \Windows \CurrentVersion\Explorer\Advanced\Folder \Hidden \SHOWALL
En el panel de la derecha le asignan CheckedValue = 1.
Ok, ahora pueden ver los archivos ocultos. Van hasta donde esta el proceso malicioso. Lo abren con un editor de texto (Notepad :) copian una porción del código (si, ese monton de letras que no se entiende nada) y despues hacen una busqueda como esta:
Los virus son destructivos, se manifiestan rápidamente. La mayoría deshabilita el administrador de tareas y el editor de registro. El famoso cartel:
"El administrador de tareas ha sido deshabilitado por un administrador"
Para volver a habilitarlo pueden usar el Restore Restriction Tools
Inclusive algunos impiden que se inice el process explorer. Si es así pueden probar cambiandole el nombre.
Por defecto: "PROCEXP.EXE".
Yo le agregué una "P" más al final: "PROCEXPP.EXE"
Los bichos modifican el registro para que se ejecuten ni bien inicia windows.
Para ver los posibles cambios maliciosos en el registro pueden usar esta herramienta de TrendMicro:
HijackThis . Usenlo con MUCHISIMA precaucion. Usenlo para eliminar las entradas del registro correspondientes a los bichos que ya hayan detectado.
A veces los bichos simulan ser antivirus. Una vez un amigo me trajo la maquina con "Antivirus 2009". Le pregunté que carajo era eso y me dijo "ni dea, jaja". Me fijo y era un archivo solo de 600kb.
El mismo traía una copia del centro de seguridad de windows. Algo como este:
Con el sutil detalle de que estaba en inglés y mi amigo tenia instalado Windows XP en español :
Aleboso.
Ni bien iniciaba windows saltaba este centro de seguridad falso diciendo que el equipo estaba en riesgo.
También hay otros virus que hacen aparecer pop-ups diciendo cosas como "Se econtraron (394) archivos infectados, haz click aqui para continuar" o algo parecido. Irónico ¿No?. El mismo bicho anuncia que el equipo esta infectado y te instala "Antivirus 2009". JAJA.
Moraleja: no confíen en lo que ven.