Nokia “Documents Unloader” : Interesante robot para esas cosas inutiles !!
20 de Septiembre de 2009Vulnerabilidad en “linkSpheric” v0.74 beta 6
4 de Agosto de 2009Una simple linea de codigo puede permitir ejecutar codigo malicioso usando PHP en este software gratuito: linkSpheric v0.74 beta 6.
Para solucionar esto, se debe editar el archivo ” viewListing.php” y cambiar la siguiente linea:
$result = mysql_query(”SELECT * FROM listings WHERE id = $listID “);
por
$result = mysql_query(”SELECT * FROM listings WHERE id = ‘$listID’ “);
Actualizar este archivo en la pagina Web.
Problemas para accesar a Hotmail
21 de Abril de 2009Existen problemas aleatorios para accesar a Hotmail, reportados con los navegadores Safari e incluso con Internet Explorer.
El problema es de acceso a correo, ya sea desde el Windows Live Messenger o directamente con el navegador.
El sintoma es que el navegador se queda esperando largo tiempo intentando cargar una direccion que comienza asi:
http://www.hotmail.msn.com/cgi-bin/sbox?
Al final, no puede continuar con la carga de la pagina de Hotmail e indica los errores tradicionales.
La solucion es simple. Hay que configurar el navegador / browser para que acepte cookies de inicio de sesion.
En Internet Explorer, la solucion es:
Opciones de Internet / Privacidad / Avanzadas:
Marcar la casilla “Sobrescribir la administracion automatica de cookies” o “Invalidar la administracion automatica de cookies” (o la que corresponda, segun la version) y despues Aceptar siempre las cookies de sesion.
Si esto no resuelve del todo el problema, hay que hacer mas cambios en configuraciones de Internet Explorer:
- Restablecer configuracion predeterminada en el navegador / browser, en las pestañas de Seguridad y Opciones Avanzadas.
- Añadir lo siguiente a “Sitios de Confianza” en Opciones de Internet / Seguridad / Sitios de confianza / Sitios: *.hotmail.com, *.passport.com, *.live.com y *.msn.com.
- Desactivar Requerir comprobacion de servidor (https:) en todos los sitios de esta zona, que se encuentra en la misma opcion del punto anterior.
- Añadir Hotmail a los sitios que siempre se les permite utilizar cookies. Esto se configura en Opciones de Internet / Privacidad / Sitios / en direccion del sitio Web, se escribe uno a uno: *.hotmail.com, *.passport.com, *.live.com y *.msn.com y hacer clic en el boton Permitir.
- Registrar de nuevo en Windows los archivos softpub.dll, wintrust.dll y initpki.dll. Para esto, vamos a Inicio / Ejecutar ( o escribimos directamente en Windows Vista para iniciar busqueda) / se escribe regsvr32 softpub.dll y hacemos clic en Aceptar. Repetir el proceso para los otros archivos .DLL indicados, con su respectivo nombre.
Eliminar Virus “VENOM” (Venom.m / Satan / Lucifer 666)
4 de Noviembre de 2008Si tu equipo de un momento a otro muestra mensajes como:
La fuente de voltaje no es suficiente para el correcto funcionamiento , QUEMATE EN EL INFIERNO UN RATO e intentalo mas tarde.
pues es que está infectado con el virus de origen mexicano “VENOM” (Venom.m / Satan / Lucifer 666).
Este virus se propaga mayormente por USB (Pen Drives, Discos removibles, etc.) y es sumamente molesto: deshabilita Administrador de Tareas, Administrador de Servicios, Regedit, Opciones de Carpeta, Command Prompt, etc. Hasta te entorpece navegar en Google (haciendo que se muestre caído ese buscador). Se propaga en todos los discos locales, externos, pen drives, etc.
Crea carpetas como micro$oft y oculta la de Windows, agregando un Windows.exe (normalmente ocultando su extensión) y ejecuta mas de 5 procesos disfrazados con nombres como “ping”, “find”.
Esta herramienta, “APG Anti VenoM”, tiene opciones específicas para remover este virus, así como utilidades para reactivar lo que comunmente desactivan los virus en Windows: apg-antivenom-61010.
Problema con Windows Vista y dispositivos de red
31 de Octubre de 2008Windows Vista viene con un avanzado mecanismo en su protocolo TCP/IP que permite “tunearse” automáticamente en base al tipo de conexión que detecte y al modo de uso de ésta.
Sin embargo, esta novedad parece causar problemas en ciertos dispositivos de red como Routers “antiguos” (por “antiguos” quiero decir los que Microsoft considera así al no tener la certificación de ser Windows Vista Compatible). Ciertos equipos no funcionan bien con el auto-tuning de Windows Vista, y se producen fallas aleatorias de todo tipo: errores de conexión, inhibición de router, errores de compresión (especialmente en funciones VoIp), etc.
Afortunadamente es posible deshabilitar esta opción en Windows Vista, con los siguientes pasos:
1) Abrir una ventana de Command Prompt como usuario Administrador. Para ejecutar la ventana de Command Prompt como Administrador, puede ir a Start>All Programs>Accessories>Command Prompt pero hacer click-derecho en Command Prompt y escoger la opción “Run as Administrator”.
2) Una vez en la ventana de Command Prompt, introducir este comando y marcar ENTER:
netsh interface tcp set global autotuninglevel=disabled
Debe recibir un “Ok.” como confirmación.
Si se desea revertir lo anterior, osea, rehabilitar el TCP/IP Auto-tuning, abrir una ventana de comando (tal como se describe en paso 1) y ejecutar el siguiente comando:
netsh interface tcp set global autotuninglevel=normal
Imposible iniciar sesión en Windows XP (daño por virus)
30 de Agosto de 2008Encontré un equipo infectado con toda una gama de virus: AutoIt-CP (DriveGuard.exe), DiskNight (Knight.exe), Virut (ise32.exe y varios nombres más), Win32:AutoIt-Z (Win32-AutoIt-Z - S-1-5-21-1482476501-1644491937-682003330-1013.exe), Win32:Magania (erdeiect.com), etc.
De todos estos, el más dañino, el Virut, infecta los ejecutables, imposibilitando su reparación.
El procedimiento correcto fué bootear con el avast BART CD actualizado y proceder con un escaneo completo, detectando más de 560 archivos infectados, increíble propagación en un equipo sin Internet (grave riesgo al no poder actualizarse) y con un simple Pen Drive usado en Cybercafés (la mayor fuente de virus… debería haber sanción para quienes den esa clase de servicio sin tener la protección de un excelente antivirus).
Al detectar el Virut, no hubo más remedio que pensar en una instalación de Windows, pero en modo reparación, para no perder la configuración anterior. Este pensamiento nace del hecho que el Virut dañó programas específicos de Windows.
INSTALACION DE WINDOWS EN MODO REPARACION
Al bootear con el CD de Windows XP, podemos empezar una instalación. El programa de instalación detectará la instalación previa y pregunta si se desea eliminarla o repararla. Usamos el modo de reparación.
IMPOSIBLE INICIAR SESIÓN
Una falla extraña no fué reparada por el instalador de XP (al menos la versión en español, que le tengo menos confianza que a la similar en inglés). El síntoma del problema es que Windows XP booteaba correctamente, pero inmediatamente cerraba la sesión. Si se intentaba de nuevo con el mismo usuario, iniciaba la sesión pero la cerraba inmediatamente, sin dar oportunidad a nada. Los intentos de usar al usuario Administrador fueron inútiles, de igual manera que intentar iniciar sesión en Modo a prueba de fallos.
El virus afectó los parámetros de Winlogon en el Registry y eliminó un archivo fundamental para iniciar la sesión: userinit.exe
SOLUCION
Editar el registro de Windows, y navegar hasta:
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”
Posiblemente encuentre una llave OldUserinit. Si encuentra esta llave, borre la llave Userinit y cambie el nombre a la llave OldUserinit por Userinit.
El contenido de la llave de Userinit debería ser el siguiente (sin comillas):
“WINDOWS_PATH\system32\userinit.exe,”
Ahora que ya estaba reparado el Registry de Windows, resulta que el archivo userinit.exe no fué instalado por el programa instalador de Windows en la reparación.
Tenemos que copiar el archivo userinit.exe de otro equipo (asegurándonos de que no esté infectado), o lo que hice: usar el Servant Salamander del avast BART CD que es una especie de Explorador de Windows, que permite accesar al Filesystem del equipo infectado. Busqué el userinit.exe en “C:\Windows\system32\DLLCACHE” y lo copié a “C:\Windows\system32″.
Reiniciar el equipo y probar. En caso de que el problema persista, volver a usar el Servant Salamander para copiar el userinit.exe del “C:\Windows\System32″ en ese mismo directorio, pero con el nombre wsaupdater.exe
Preocupante nueva forma de propagacion de Virus usando Flash
28 de Agosto de 2008Hoy recibí un spam engañoso con un supuesto “Microsoft XP official update 2008″, con un supuesto “Free Update Windows XP,Vista”. Ese email tenia un link a un flash:
http://img120.imageshack.us/img120/8065/66098451mp6.swf
Ese flash, aparentemente infofensivo (y sin sentido, además), tiene rutinas integradas para descargar automáticamente un virus desde la siguiente dirección:
http://89.187.49.18/install.exe
CRC32: 263AF417
MD5: 0F44ED00C0B67D9E5062B8E2C3574345
SHA1: 4D9B42BBD950EA0C253A483EA2DB3F888055C1C6
Ese ejecutable podría instalarse automáticamente si el Internet Explorer no está bien configurado, o hacer una pregunta que de pronto la mayoría, pensando que es algo legítimo o por desconocimiento sobre que hacer, respondería que proceda con la carga o instalación de esa rutina, que no es más que un virus.
Está latente la necesidad de estar conscientes de que no existe antivirus infalible, y que últimamente hay virus muy especializados que incluso anulan la configuración de todos los antivirus de renombre, así como detectan y anulan intentos de revisión de procesos, terminación de procesos, etc. Algunos usan técnicas de rootkit tan avanzadas (emulando a la famosa protección ilegal de Sony) que impiden que el explorador de windows y el task manager (Administrador de Tareas) muestren ciertos procesos y archivos (los del virus), obstaculizando enormemente su detección y eliminación.
Peligroso virus que se propaga por Messenger
23 de Agosto de 2008Ayer me tocó eliminar un virus que se propaga por Messenger. La técnica de propagación es bien audaz: infecta un equipo, y el usuario de ese equipo, al estar conectado con su messenger, envía a sus contactos diversos mensajes como “Mira la foto tuya que voy a poner en mi blog” o “Esta es la foto de mi novio” y vienen con un attachment. También hay de otro tipo que envían una URL (dirección para usar en un navegador, página web) donde se inserta el nick del usuario del messenger y vá a un sitio “UltimateStufff.com” (así, mal escrito) o “imagerzz.com”. Y obviamente, resulta convincente para quien lo recibe, ya que lo envía un amigo por el messenger. Al momento de abrir lo que nos envían, empieza la pesadilla de tener un virus mutante que no es detectado por los antivirus.
En la muestra de ayer, se instaló en HKLM\Software\Microsoft\Windows\CurrentVersion\Run, con un falso nombre de “Symantec Security Loader”, a un programa symloader.exe que, obviamente, es el virus:
Tamaño: 61440 bytes.
MD5: E218CBDF96A3C9B0879A01A181D4859E
CRC32: 355A25EE
SHA1: E456849DB11361C2FE26699FEB1B7EEDF886B9CD
Usa otro nombre cuando infecta Pen Drives (su otro medio de propagación): ShellView.exe.
Para dañar el modo a prueba de fallos, también se instala como un driver de Windows, con un nombre sin sentido (como “rrkcduvh“), pero el supuesto driver es un archivo zoie.sys. Esto es lo más difícil de detectar, y complica bastante toda tarea de desinfección al punto de considerar reinstalar todo Windows, pues no se puede bootear en modo a prueba de fallos, no se pueden usar programas para verlo en memoria y matarlo, no se puede cambiar la configuración del Registry, anula Task Manager, etc.
Es el virus más avanzado que he visto hasta el momento. Existen virus especializados que anulan la configuración de todos los antivirus conocidos. Pero este, no se preocupa de anular los antivirus, más bien anula toda rutina de Update a antivirus y anti-spyware/malware conocidos.
Lo que lo convierte en una perfecta amenaza, es que también detecta las herramientas más conocidas y usadas mundialmente para ver procesos en memoria, como los de SysInternals (Process Explorer, ProcDump).
Forma de Eliminarlo
Mientras el virus esté activo en memoria, es imposible atentar contra él con herramientas modernas… habría que probar con utilitarios obsoletos pero que al menos listen procesos y sean compatibles con XP/Vista.
La única manera de eliminarlo, es offline, osea, sin que el Windows esté cargado. Podría ponerse el disco duro infectado en otro equipo como esclavo o en un enclosure, con las molestias y riesgos que esto significa.
Opté por el avast BART CD. Usando el avast BART CD, un CD Booteable hecho por los creadores del avast Antivirus, es posible accesar al Registry de Windows del equipo infectado. El virus no se carga porque no estamos booteando en modo normal ni en modo a prueba de fallos. El BART viene con varias herramientas.
Con el Registry Editor eliminé las entradas de HKLM\Software\Microsoft\Windows\CurrentVersion\Run, las entradas que apuntaban al virus.
Con el Servant Salamander, una especie de Windows Explorer, pude accesar al filesystem del equipo infectado y borrar el symloader.exe. También usé la herramienta de búsqueda para detectar todos los archivos con fecha de ayer (el virus, en su modo de infección agresiva, comprueba y recomprueba que esté debidamente alojado en el equipo, lo que hace que sus archivos tengan fecha del día). Hay que ser cuidadoso con esto, pues obviamente saldrán en los resultados muchos otros archivos válidos. Me guío para reconocer los que pertenecen al virus por su tamaño… así fué como detecté al supuesto driver, de otra forma, es un dolor de cabeza tratar de reconocer un falso driver de la enorme lista de drivers que resultan (el BART también tiene un utilitario para ver drivers y servicios).
Borré todos los archivos que reconocí como el virus, y aproveché (por seguridad) para borrar todos los archivos de caché de Internet Explorer y Firefox (el equipo infectado usaba los dos), así como todos los temporales, e incluso todo el contenido de la carpeta de sistema RECYCLER (Papelera de Reciclaje) pues los virus se alojan allí, etc.
Luego tuve que usar RegUnlocker para habilitar de nuevo el Administrador de Tareas / Task Manager.
Peligroso virus que se instala como Driver de Windows
14 de Agosto de 2008Hoy está circulando un peligroso virus que se instala como driver, lo que dificulta su detección.
El programa que se instala como tal, se llama OSTUQRUM.SYS o tambien LTJSYVTP.SYS (podría haber variantes).
El sistema se infecta luego de correr un programa que sirve de instalador. Ese programa se disfraza falsamente como una “post card” electrónica (de allí repetir una vez más la recomendación de que no abran ninguna clase de programa que reciban por email).
Cómo remover manualmente un driver en NT/XP/Vista/Win2003/Win2008?
Se hace click con el botón derecho en My Computer, y se hace click en el Device Manager. Debe activarse la opción que permita ver los dispositivos ocultos (View>Show hidden devices). Se expande “Non-Plug and Play Drivers”, y seleccionar el falso driver OSTUQRUM.SYS 
Se hace click con el botón derecho del mouse sobre ese driver y se usa la opción Uninstall para desinstalarlo. Debe confirmar con Ok / Aceptar y reiniciar el equipo (le preguntará si desea hacerlo).
Cómo remover manualmente un servicio en NT/XP/Vista/Win2003/Win2008?
Hay que abrir una ventana de comando y usar el comando sc.
En la pregunta si de desea ver la ayuda para el comando QUERY, se presiona simplemente la n para indicar que no. Para borrar / desinstalar un servicio, hay que conocer el nombre de ese servicio en Windows.
Se usa el comando: sc delete “Service Name”
Recuperar archivos del baúl de avast
14 de Agosto de 2008Usualmente sus archivos infectados se mueven al “baúl” de seguridad que tiene avast antivirus (salvo que sean archivos infectados y dañados, que los vuelva irrecuperables, como los programas que infecta el virus Sality).
Para abrir el baúl, tiene que hacer click con el boton derecho del mouse sobre el ícono de avast que esta en el System Tray (en su monitor, abajo a la derecha) y escoger la opcion “Iniciar avast” (o similar, tengo a mano la version en ingles solamente).
Una vez que sale la pantalla de avast, se hace click en el ícono del baúl:
En la lista de archivos infectados, se hace click con el boton derecho al que se desea extraer. No es recomendable extraer un archivo infectado, peor usarlo luego de extraerlo, pues corre el riesgo de infectar su equipo. Puede volver a testear un achivo en el baúl, por la posibilidad de que las nuevas firmas de virus establezcan nuevas pautas de detección y posible reparación.
