Category: Virus

Como actualizar Windows para estar protegido contra WannaCry

Estas semanas fueron muy movidas para todos los que trabajamos en IT. Hoy por hoy el tipo de virus en el que se situa WannaCry, los virus que encriptan toda la información y piden rescate, son de los tipos de virus más agresivos y complicados con los que me tocó alguna vez lidiar desde que trabajo en Informática.

En el caso de este último virus, se aprovecha de una bulnerabilidad que fue corregida por Microsoft en Marzo 2017. Fue tan grave la infección y ataques sobre sistemas informáticos en todo el mundo que obligó a Microsoft a sacar un parche de seguridad hasta para Windows XP, un sistema operativo ya fuera de soporte hace mucho tiempo.

Las medidas para estar protegidos son:

1- Primero debemos conocer la versión de sistema operativo que tenemos, para esto podemos ir a las propiedades del sistema, boton derecho propiedades sobre Equipo (Computer, para las versiones en Inglés) o mucho más rapido, tecla Windows + Pausa del teclado.

2- Conociendo la versión del sistema operativo que tenemos instalado, debemos instalar el parche de seguridad del sitio de Microsoft MS17-010:

Dependiendo de la versión del sistema, el vínculo correspondiente nos descargará un ejecutable con extensión MSU que debemos ejecutar (con un usuario con permisos administrativos) y una vez instalado debemos reiniciar el equipo para que el parche se aplique.

3- Debemos verificar con un antivirus actualizado que no haya ingresado ningún virus al sistema.

Como siempre, mi recomendación es tener instalada la última versión (oldivémos a Windows XP y Vista de una vez por todas). La otra recomendación que debemos tener cuanto antes es un backup de la información actualizada. Este backup debe ser periódico y automático (no debe depender de alguien que se acuerde de hacerlo)

Fuente: https://blog.kaspersky.com.mx/wannacry-windows-update/9995/

Hasta la próxima!
Hernán

Eliminar virus de accesos directos en USB

PendriveYa van varios usuarios que me consultan como resolver el virus de accesos directos de sus pendrive. Este virus no es complicado en lo que hace, es más, parece más un virus tipo broma que terminó haciéndose masivo. En poco tiempo tuve que limpiar muchos pendrive y cada vez que necesitaba tenía que buscar como eran los comandos así que acá pongo la explicación de como limpiar un pendrive (también puede ser la memoria de un celular o una cámara). También pongo como limpiar la PC en caso que sea la causante de propagar la infección.

Primeramente vamos a contar que el virus se llama MUGEN.vbs y el “daño” que hace es ocultar todo el contenido de la unidad USB que conectemos y generar un acceso directo de todos los elementos que teníamos pero adentro de ese acceso va hacer un llamado al virus para que se ejecute e infecte otras PCs. Al quedar los archivos ocultos no se pueden acceder desde el explorador.

Para eliminarlo de la unidad USB (pendrive SSD, etc) no hace falta ninguna herramienta especial solo un comando de la ventana de comandos (el DOS de toda la vida). Primero debemos darnos cuenta que tenemos la infección o el efecto de esta, si tenemos varias carpetas y archivos con la flechita donde deberían estar los archivos lo más seguro es que sea el efecto del virus:

accesos_directo

Ahora vamos a lo que le importa a todos los usuarios: Como recuperar los archivos!!

Para esto debemos abrir una ventana de comandos, casi sin importar en que sistema operativo estemos debemos abrir el menú inicio y escribir CMD y presionar Enter. Podemos ejecutarlo también usando el botón con el logo de Windows del teclado y la tecla R. Esto nos abre la ventana ejecutar y ahí escribimos CMD (el comando de la ventana DOS) y presionamos aceptar.

Tenemos que averiguar la letra de unidad que tiene el pendrive a limpiar, para verlo solo hace falta abrir Mi PC o Equipo y encontraremos la lista de unidades. Supongamos que la letra es E:, entonces debemos escribir los siguientes comandos:

E:
Apretar ENTER

(Reemplazar la letra por la que corresponde a la unidad a limpiar, no ejecutarlo nunca sobre el C:)

Attrib /d /s -r -h -s *.* 

Apretar ENTER commandEsto hará aparecer a todas las carpetas y archivos ocultos, lo único que tenemos que hacer ahora es borrar todos los accesos directos y los ejecutables que encontremos raros (y que nunca hayamos tenido).

Fuentehttps://drtorres10.wordpress.com/2010/05/20/eliminar-virus-que-convierte-carpetas-en-accesos-directos-lnk/

 

Hasta la próxima!
Hernán

Como desbloquear archivos que Windows no nos deja tocar

lockhunter_icon_largeCuantas veces nos pasa que queremos borrar un archivo o cambiarle el nombre y Windows nos dice que no podemos porque está bloqueado por un proceso o un programa. Esto suele pasar muchas veces cuando seleccionamos un archivo para enviar como adjunto de correo electrónico, y por más que haya salido el correo el archivo se mantiene bloqueado y no podemos eliminarlo, ni cambiarle el nombre y menos moverlo de ubicación.

Existen varias soluciones para desbloquear el archivo y tomar control para hacer lo que necesitemos con el, una de ellas es LockHunter que es una herramienta gratuita y que tiene soporte para varias versiones de Windows de 32 y 64 bits.

Las características de este programa son:

  • Muestra el proceso que bloquea un archivo o carpeta
  • Muestra la información detallada del proceso
  • Permite desbloquear, borrar, copiar o renombrar un archivo o carpeta bloqueada
  • Permite borrar un archivo en el próximo inicio del sistema operativo
  • Permite “matar” el proceso que bloquea el archivo o carpeta
  • Permite eliminar el proceso del disco rígido
  • Permite terminar el uso de las DLL correspondientes al proceso
  • Se integra en el menú contextual del Explorer
  • Utiliza la papelera de reciclaje para permitir restaurar un archivo borrado por error
  • Soporte para Windows 2000\XP\2003\Vista\W7\W8  para versiones de 32\64 bit

LockHunter_mainScreenshotRes

Este programa es útil para los casos en que queremos eliminar el proceso de un virus, ya que mientras esté el proceso en ejecución no vamos a poder eliminar el ejecutable.

Hay que tener en cuenta que como en muchos casos, vamos a necesitar tener permisos de Administrador para eliminar ciertos procesos.

Acá está el link del programa: LockHunter

La web del softwarehttp://lockhunter.com/index.htm

Hasta la próxima!
Hernán

Windows XP – Office 2003 – Final anunciado

windows-xp-aviso-soporteFinalmente llegó el día anunciado: 08/04/2014, fecha del fin de soporte de Windows XP y Office 2003, fue bueno mientras duró, pero duró bastante más de la cuenta (12 años).

Que significa el fin del soporte de Microsoft:
Después de hoy ya no habrá más actualizaciones de seguridad, ni parches para errores no ligados a la seguridad, ni opciones de soporte -gratuitas ni pagas tampoco- ni actualizaciones de contenido técnico en la Web de Microsoft.

Pero en la práctica no significa que las instalaciones actuales dejarán de funcionar, la realidad es que serán propensas a ataques de virus o accesos no autorizados desde la web. Si se descubre algún error o problema de seguridad que no haya estado resuelto hasta hoy, Microsoft no sacará un parche de actualización para corregirlo. Por otro lado, las empresas de seguridad (los antivirus, por ejemplo) comenzarán a eliminar el soporte para Windows XP.

Los usuarios deberían migrar sus equipos a Windows 7 u 8.1, pero ésto en algunos casos implica cambiar el equipo porque su computadora actual no tiene los recursos suficientes para realizar la migración al nuevo sistema operativo. Los requisitos mínimos son:

–       Procesador: 1 gigahertz (GHz) o superior.
–       RAM: 1 gigabyte (GB) (32 bits) o 2 GB (64 bits).
–       Espacio en disco duro: 16 GB (32 bits) o 20 GB (64 bits).
–       Tarjeta gráfica: dispositivo gráfico Microsoft DirectX 9 con controlador WDDM

La otra opción es que el usuario migre a alguna distribución de Linux, que al tener menos requerimientos de hardware, no sería necesario cambiar o actualizar la PC. El problema es que para muchos usuarios esto significa un cambio en como se hacen algunas cosas. Para usuarios que utilizan su PC para entrar Internet solamente, este cambio no es muy grande.

Si el usuario decide quedarse un tiempo más con Windows XP, debería tomar algunos precauciones para no estar expuesto:

  • Tener el antivirus actualizado, tanto el programa como las firmas de virus. También es importante que la solución antivirus tenga protección de firewall y este esté activado (en reemplazo del Firewall de Windows).
  • Realizar un backup de la información con frecuencia, en algún soporte externo como DVDs, Discos externos o Pendrive. Esto permite que en caso de una infección de algún virus, tener la información a salvo.
  • Mantener actualizado el resto de los programas como Flash Player, Adobe Reader, Java, etc.
  • Si se puede evitar que el equipo esté conectado a Internet, mucho mejor. Esto minimiza el riesgo casi en su totalidad.

Hay casos en que la razón que evita el cambio del sistema operativo es el uso de programas que no son compatibles con los nuevos sistemas operativos, muchos equipos industriales conectados a equipamientos viejos no tienen software compatible con Windows 7 (y menos con Windows 8). En la Argentina, la entidad del gobierno encargada a la recaudación de impuestos sigue utilizando aplicativos programados en Visual Basic 6, que muchos de estos no son compatibles con Windows 7 o dan errores de funcionamiento durante el uso.
Para esos casos, me ha tocado solucionar el problema, instalando una máquina virtual con Windows XP (una instalación compacta) configurado para que esté aislado de Internet. El usuario tarda un poco más en entender como siguir haciendo su trabajo, pero cuando aprende, el como tener 2 computadoras en 1. Para esto, podemos utilizar la solución Virtual Box o VMWare Player. Lo que se debe tener en cuenta en caso de optar por esta solución, es que los recursos de la nueva PC física (más que nada en cuanto a memoria y procesador) deben elevarse un poco más para que al ejecutar la PC virtual no se sienta ninguna demora en el funcionamiento de la PC.

Bienvenido el trabajo para todos los técnicos!

Fuentes:

http://www.microsoft.com/es-es/windows/endofsupport.aspx

http://www.itsitio.com/regsMan/itsitioUpdate/detalleNotaTwitter.php?idxnota=MTQ3OTQ1&idxcomunidad=Mjgx

Hasta la próxima!
Hernán

 

 

Vulnerabilidad en Internet Explorer 9 y 10

ie-fixitSegún leo en ITSitio.com, Microsoft anunció que encontraron una vulnerabilidad de seguridad que afecta a Internet Explorer 9 y 10. Aparentemente la versión 11 no tiene problemas. Según dicen, los reportes de ataques solo fueron sobre la versión 10.

La citada vulnarabilidad permite que se ejecute código malware cuando el usuario visita un sitio infectado o “malicioso”. El malware muestra un link de correo electrónico o un mensaje al usuario para que el usuario haga click y se ejecute en forma local, infectándolo con el virus.

Microsoft lanzó un parche de seguridad (Fix It) para solucionar esta vulnerabilidad. Aconsejan ejecutarlo en todos los equipos que aún tengan las versiones 9 o 10 y no hayan actualizado a la versión 11 (o no puedan hacerlo por alguna incompatibilidad). Tengo varios usuarios a los que tuve que desinstalarle la versión 11 y volver a la 10 u 9 por incompatibilidad con los sitios web, de los bancos sobre todo.

Aconsejo a todos los usuarios aplicar el Fix It o actualizar la versión del Internet Explorer a la versión 11

Fuente: http://enterprise.itsitio.com/detalleNotaE.php?idxnota=MTQ4MzE2

Hasta la próxima!
Hernán

Como desactivar Windows Defender vía GPO

Si tenemos un programa Antivirus completo, que nos brinde no solo la protección antivirus sino también la protección Antispyware, podemos desactivar la solución que viene preinstalada en Windows (a partir de la versión 7), el Windows Defender. Este programa de protección Antispyware funciona bien en conjunto con la otra solución de Microsoft, el antivirus Security Essential. Si tenemos una solución de Antivirus comprada e instalada (siempre es mi recomendación) podemos desactivar al Windows Defender ahorrando así recursos de memoria y procesador del equipo.

Para desactivarla desde el registro sin necesidad de desinstalarla por completo podemos utilizar el editor de políticas de grupo (GPEDIT.MSC), para esto debemos ir a inicio, ejecutar o escribir ahí mismo gpedit.msc (para los que les gusta utilizar los shortcuts de teclado, la ventana ejecutar se abre con la tecla de Windows + R).

Una vez que tengamos el programa abierto, debemos navegar desde el panel izquierdo hasta la carpeta:
Configuración de equipo > Directivas > Plantillas administrativas > Componentes de windows > Windows Defender.

Del lado derecho veremos 2 elementos que debemos cambiar de No Configurada a Habilitada, los items son:

– Desactivar Windows Defender- Desactivar la supervisión en tiempo real

defender0

En ambas directivas, debemos darle doble click, para que se abra la ventana de configuración y seleccionar Habilitada y presionar Aceptar para guardar la configuración.

defender 2

Cuando hayamos hecho esta configuración, las directivas deberán quedar así:

defender1

Para que el cambio surta efecto, debemos reiniciar el sistema operativo y en el próximo inicio de sesión, el Windows Defender ya no estará activo.

Esto se puede realizar en Windows 7, 8 y 2008 Server. Siempre es recomendable si la solución antivirus que tenemos es mejor de la que nos ofrece Microsoft.

Fuente: http://www.nicklabs.com.ar/?p=4307

Hasta la próxima!
Hernán

Antivirus gratuitos on-line. La segunda opinión del especialista.

virusHace algunos días en la web wwwhatsnew.com comentaban sobre los mejores antivirus on-line para Windows, por supuesto. Por falta de tiempo, recién hoy puedo comentar al respecto.

Muchas veces nos encontramos con una PC que funciona lento, se cuelga, aparecen ventanas del navegador con publicidad (sin que hagamos nada) y otros efectos extraños, asociados a la posible infeccción de algún virus, malware, troyano, etc. En la PC podemos tener un antivirus instalado, pago o gratuito, pero podemos “pedir una segunda opinión a otro especialista” y verificar la existencia de algún virus u otro “bicho” que nos esté haciendo la vida complicada en la PC.

Según la nota hay varios para elegir, en lo personal uso el de Panda, pero dejo a elección del usuario el que más les guste o el que mejor resultado les de.
Acá van las opciones para elegir:

ActiveScan

Panda Activescan

Esta es la solución de Panda Security que nos permite realizar un escaneo rápido o exhaustivo y completo de la PC. Requiere permisos de instalación, usando el Internet Explorer instala un mini programa para luego actualizar la base de virus y comenzar el escaneo. En caso que usemos Mozilla Firefox, se instala un Pluggin sobre el navegador. Como ventaja podemos encontrar que si encuentra una infección grave de un virus intenta eliminarla, en caso de una infección media o baja ofrece la ruta de la infección, ya sea en el registro como en los archivos. Como desventaja le encuentro siempre que encuentra a las Cookies como posibles virus.
El análisis rápido es menos completo pero más rápido, el completo puede tardar una hora (dependiendo mucho de la cantidad de información que haya en la PC).

 

Virus Total

VirusTotal

Esta solución no la conocía, permite el escanéo de un archivo o un sitio web, para detectar virus o malware. Según comentan en la nota, esta plataforma fue comprada por Google y permite el escaneo utilizando múltiples motores antivirus.
Esta solución no sirve para verificar el estado de toda la PC, pero nos puede servir para verificar algún adjunto que nos vino por correo del que no estamos seguros si es un virus o no.

BitDefender

Bitdefender

Bitdefender QuickScan nos promete realizar el escaneo de la PC en forma casi instantánea, tardando menos de 60 segundos. La desventaja de esto es que el escaneo es muy superficial, solo buscando las amenazas conocidas.

 

 

Metascan

metascanOtra herramienta como VirusTotal, nos permite el escaneo de un archivo sospechoso, hasta un máximo de 40 Mb de tamaño. Según dice en la propia página, “aumente sus posibilidades de detección de virus, gusanos, troyanos y otros programas maliciosos mediante el escaneo con varios programas antivirus. Metascan Online es un escáner de archivos gratuito que usa programas antivirus de vendedores como AVG, ESET, Norman y muchos otros para detectar rápidamente los archivos maliciosos”.

De todas las opciones que hay, sigo recomendando a la solución de Panda, hay otras disponibles, como dice el dicho: “para gustos los colores”.

Por supuesto, ninguna de estas opciones reemplaza a una solución de antivirus que se esté ejecutando y verificando en tiempo real lo que pasa en el sistema operativo, solo son para tener otra “opinión”, nada mas, ni nada menos.

Fuentehttp://wwwhatsnew.com/2013/01/29/los-mejores-antivirus-web-gratuitos/

Hasta la próxima.
Hernán

Como saber si tu MAC está infectada con el virus Flashback?

Los virus en MAC en realidad existen, se considera que no hay posibilidades de que se infecte porque hay tan pocos virus que es muy raro que el sistema operativo se termine agarrando algún “bicho”. En este caso, gracias a una bulnerabilidad con una versión de Java  apareció un Malware (virus) que ya infectó a más de medio millon de usuarios de OSX a nivel mundial.

El virus se llama Flashback, también se lo conoce como Flashfake. Todavía no existe una solución automática para arreglar la infección, por ahora se debe hacer en forma manual con el procedimiento que se describe en el sitio de F-Secure. Este procedimiento es bastante complejo por lo que se recomienda hacerlo solo si se tiene los conocimientos necesarios.

En el sitio http://www.fayerwayer.com escribieron una nota sobre un programa que permite verificar si el Mac-OS está infectado con este troyano. El programa se llama Flashback Checker 1.0, está desarrollado por un programador amateur y con un solo click permite verificar si el sistema se encuentra infectado.

Se debe bajar el programa desde el sitio https://github.com/jils/FlashbackChecker/wiki, se debe ejecutar y usando el botón que dice Check for Flashback infection el programa verificará si el virus está presente. En caso que no estemos infectados, mostrará la leyenda  “No signs of infection were found“.

En caso de no estar infectado, se deben ejecutar las actualizaciones del sistema para que se actualice la versión de Java, que es la culpable de la bulnerabilidad.

Fuentehttp://www.fayerwayer.com/2012/04/como-saber-si-tu-mac-tiene-el-malware-flashback/

Link de la herramientahttps://github.com/downloads/jils/FlashbackChecker/FlashbackChecker.1.0.zip

Una nota donde hablan sobre este virus que afecta a más de 13 mil equipos en Latinoamérica.

A estar prevenidos.
Hernán.

Por fin, chau Autorun en Windows

Desde hace varios años, los técnicos venimos padeciendo un error de diseño en los sistemas Windows desde la versión 98. Algo que según tengo entendido nació como una forma de ayudar a los usuarios comunes a ejecutar contenido o instaladores, los creadores de los virus lo comenzaron a usar como una forma de infectar a una PC y propagar esa infección. El culpable, el archivo autorun.inf, este archivo solía estar en los CDs de instalación para que arranque automáticamente el programa de instalación u otro programa. Cuando uno pone un CD o PenDrive el sistema operativo busca este archivo y lo lee para saber que programa tiene que ejecutar o que tiene que abrir.

Desde hace algunos años, Microsoft había sacado un parche de seguridad para deshabilitar el autorun de las unidades extraibles, CDs, DVDs, USB, etc. Este parche ya no está disponible. Ahora sacó una actualización dentro de las actualizaciones automáticas que anula el autorun para las unidades extraibles USB, ya que Microsoft no considera que las unidades de solo lectura sirvan para propagar virus. Esta actualización es para Windows 2000, XP, 2003 y Vista. Windows 7 y Windows 2008 no tienen el autorun habilitado por defecto.

Hasta la salida de este parche de seguridad, la solución era, a parte de correrle el parche de seguridad, crear una carpeta con el nombre autorun.inf . De esta forma, como Windows no puede tener en la misma ubicación un archivo y una carpeta con el mismo nombre, el virus no podrá propagarse. Esto lo suelo hacer no solo en las unidades USB (Pendrives, memorias de cámaras, etc) sino también en las carpetas compartidas de la red.

Una razón más para tener el sistema operativo actualizado. Por suerte, un dolor de cabeza menos.

Fuente: http://www.chw.net/2011/02/microsoft-por-fin-se-deshace-del-autorun-en-windows/

Hasta la próxima.
Hernán.

Donde está el archivo hosts

Hace poco tiempo me preguntaron donde se encontraba el archivo hosts en Windows. En ese caso la pregunta fue sobre un Windows XP. Pero en todos los sistemas operativos podemos encontrar este archivo, que según la definición de la Wikipedia sirve para guardar la correspondencia entre dominios de Internet y direcciones IP. Este es uno de los diferentes métodos que usa el sistema operativo para resolver nombres de dominios. Algo así como un servidor de nombres local (DNS).

Este archivo no suele ser necesario modificarlo a mano, pero he necesitado modificarlo para establecer  el acceso a servidores desde un enlace VPN, y otras veces para evitar que el sistema operativo intente salir a Internet para encontrar un destino.

Por defecto, el archivo tiene que tener solo este contenido:

127.0.0.1       localhost

Al principio del archivo suele haber un montón de líneas de texto que comienzan con el símbolo #, esto significa que es solo un comentario.
El archivo se puede editar tranquilamente con un editor de texto, tipo el block de notas (notepad) o similar.
Algo a tener en cuenta, es que algunos virus (en los sistemas Windows) editan este archivo para que los antivirus no puedan actualizarse, es muy importante mantener bajo control el archivo, con la información necesaria solamente. Una buena protección es editar las propiedades del archivo haciéndolo de solo lectura.

La ubicación del archivo hosts en los diferentes sistemas operativos es la siguiente:

Sistema Operativo Ruta
Windows 95 / 98 / Me C:Windowshosts
Windows NT / 2000 C:WINNTSystem32driversetchosts
Windows XP / 2003 / Vista / 7 C:WindowsSystem32driversetchosts
Mac OS / iPhone OS /private/etc/hosts
Unix / Linux / BSD /etc/hosts

Hasta la próxima.
Hernán

Load more