links megaupload
http://www.megaupload.com/es/?d=KWEIVKCE
domingo, 1 de noviembre de 2009
Quitar el spyware de los codecs DivX 5.x
Descripción:
Los codecs DivX 5.0, 5.01 y 5.02 llevan un spyware.
Hay dos métodos para quitarlo, a través de un firewall o a través de un programa de limpieza de spyware y recomponiendo del registro de Windows con otra aplicación.
Método 1: A través de un firewall.
El spyware lo produce el programa gain_trickler_3102.exe que esta en la misma carpeta donde están instalados los codecs. Aplicando una nueva regla al Firewall impidiéndole el acceso a Internet a este programa se soluciona el problema.
Si no tienes un firewall instalado, pásate por nuestra sección de seguridad y bajate uno.
Método 2: A través de un programa de Spyware.
Si quieres quitar el programa espía de todas todas, lo mejor es usar un programa especifico para ello.
Existen dos programas muy buenos que hacen el trabajo automáticamente, el Outpot y el Ad-ware.
Los codecs DivX 5.0, 5.01 y 5.02 llevan un spyware.
Hay dos métodos para quitarlo, a través de un firewall o a través de un programa de limpieza de spyware y recomponiendo del registro de Windows con otra aplicación.
Método 1: A través de un firewall.
El spyware lo produce el programa gain_trickler_3102.exe que esta en la misma carpeta donde están instalados los codecs. Aplicando una nueva regla al Firewall impidiéndole el acceso a Internet a este programa se soluciona el problema.
Si no tienes un firewall instalado, pásate por nuestra sección de seguridad y bajate uno.
Método 2: A través de un programa de Spyware.
Si quieres quitar el programa espía de todas todas, lo mejor es usar un programa especifico para ello.
Existen dos programas muy buenos que hacen el trabajo automáticamente, el Outpot y el Ad-ware.
Que son los Spywares
Los spywares son pequeños programas que se instalan en nuestro sistema con la finalidad de robar nuestros datos y espiar nuestros movimientos por la red.
Luego envían esa información a empresas de publicidad de internet para comercializar con nuestros datos.
Trabajan en modo "background" (segundo plano) para que no nos percatemos de que están hasta que empiecen a aparecer los primeros síntomas.
Como se instalan en nuestro equipo
* Al visitar ciertas paginas de Internet que nos descargan su código maliciosoActiveX, JavaScripts o Cookies, sin nuestro consentimiento y usando un navegador poco apropiado como es el Internet Explorer.
* Acompañando algún virus o llamado por un Troyano
* Estando ocultos en un programa gratuitos Freeware los cuales al aceptar sus condiciones de uso por regla general en ingles y que no solemos leer, estamos aceptando que cumplan sus funciones de espías
Información que nos pueden sacar
Pueden tener acceso por ejm a: Tu nombre de usuario en elcorreo electrónico y la contraseña, tu dirección IP y DNS, teléfono, país, paginas que visitas y de que temas te interesan, que tiempos estas en ellas y con que frecuencia regresas, que software tienes y cuales descargas, que compras haces por Internet y datos mas importantes comoel numero de tu tarjeta de crédito y cuentas bancarias.
Los Spywares mas comunes
AdSofware, Alexa, BlazeFind. Bridge, CoolWebSearch, Cydoors, Gator, Hotbar, Kazaa, Web3000, Webhancer, Xupiter, etc....
Principales síntomas de infección .
* Se nos cambian solas las pagina de inicio, error y búsqueda del navegador.
* Se nos abren ventanitas pop-ups, incluso sin estar conectados y sin tener el navegador abierto.
* Barras de búsquedas de sitios como la de Alexa, Hotbar, etc.. que no nos son posibles desinstalar.
* Botones que se aparecen la barras de herramientas del navegador y no podemos desinstalarlos.
* La navegación por la red se hace cada día mas lenta.
Como evitarlo:
* Descargar herramientas Anti-Spywares Ad-Aware SE , Spybot - Search & Destroy,CWShredder, HijackThis. Mantenlos actualizados y configurados apropiadamente a tus necesidades y escanea el equipo una vez a la semana por lo menos.
Usa un firewall, los ahí muy buenos y gratuitos Agnitum Outpost o el Zone Alarm que te ayudaran a mantener tu seguridad integra.
Lo mismo podemos comentar de un antivirus, con la salvedad de que los mejores son de pago, pero si que ahí algunos gratuitos que nos podrían servir, en la sección descargas de esta Web tienes algunos de los mas representativos.
* Es aconsejable no usar el Internet Explorer, ahí cantidad de navegadores no tan buenos, sino mejores que el Mozilla Firefox y Opera son solo una muestra, que no nos expondrán tanto y navegaremos mas rápido y mas seguros.
Luego envían esa información a empresas de publicidad de internet para comercializar con nuestros datos.
Trabajan en modo "background" (segundo plano) para que no nos percatemos de que están hasta que empiecen a aparecer los primeros síntomas.
Como se instalan en nuestro equipo
* Al visitar ciertas paginas de Internet que nos descargan su código maliciosoActiveX, JavaScripts o Cookies, sin nuestro consentimiento y usando un navegador poco apropiado como es el Internet Explorer.
* Acompañando algún virus o llamado por un Troyano
* Estando ocultos en un programa gratuitos Freeware los cuales al aceptar sus condiciones de uso por regla general en ingles y que no solemos leer, estamos aceptando que cumplan sus funciones de espías
Información que nos pueden sacar
Pueden tener acceso por ejm a: Tu nombre de usuario en elcorreo electrónico y la contraseña, tu dirección IP y DNS, teléfono, país, paginas que visitas y de que temas te interesan, que tiempos estas en ellas y con que frecuencia regresas, que software tienes y cuales descargas, que compras haces por Internet y datos mas importantes comoel numero de tu tarjeta de crédito y cuentas bancarias.
Los Spywares mas comunes
AdSofware, Alexa, BlazeFind. Bridge, CoolWebSearch, Cydoors, Gator, Hotbar, Kazaa, Web3000, Webhancer, Xupiter, etc....
Principales síntomas de infección .
* Se nos cambian solas las pagina de inicio, error y búsqueda del navegador.
* Se nos abren ventanitas pop-ups, incluso sin estar conectados y sin tener el navegador abierto.
* Barras de búsquedas de sitios como la de Alexa, Hotbar, etc.. que no nos son posibles desinstalar.
* Botones que se aparecen la barras de herramientas del navegador y no podemos desinstalarlos.
* La navegación por la red se hace cada día mas lenta.
Como evitarlo:
* Descargar herramientas Anti-Spywares Ad-Aware SE , Spybot - Search & Destroy,CWShredder, HijackThis. Mantenlos actualizados y configurados apropiadamente a tus necesidades y escanea el equipo una vez a la semana por lo menos.
Usa un firewall, los ahí muy buenos y gratuitos Agnitum Outpost o el Zone Alarm que te ayudaran a mantener tu seguridad integra.
Lo mismo podemos comentar de un antivirus, con la salvedad de que los mejores son de pago, pero si que ahí algunos gratuitos que nos podrían servir, en la sección descargas de esta Web tienes algunos de los mas representativos.
* Es aconsejable no usar el Internet Explorer, ahí cantidad de navegadores no tan buenos, sino mejores que el Mozilla Firefox y Opera son solo una muestra, que no nos expondrán tanto y navegaremos mas rápido y mas seguros.
Qué es el Spyware y cómo defenderse
Continuamos defendiéndonos y aprendiendo de los peligros que giran en torno a la red. En este caso vemos el tema del Spyware, un término familiar y común para los usuarios ya iniciados en Internet.
Spyware es otro concepto que deben soportar los usuarios de Internet, y hace referencia a programa espía, es decir, una aplicación que analiza nuestras actividades, principalmente en la Web. Actualmente este tema da mucho de que hablar, y en este artículo veremos cómo es posible que instalemos un Spyware sin darnos cuenta, y cómo eliminarlo del sistema.
Muchos programas, para compartir información, para optimizar nuestra PC, y demás, pueden contener en su interior un Spyware, y en este caso estamos hablando de Ad-ware, programa gratuitos, pero que utilizan mecanismos publicitarios basándose en el perfil de cada usuario. Es común, al efectuar la instalación de un programa, aceptar todo lo que nos muestra el asistente para finalizar el proceso y comenzar a utilizarlo. Pero en una de estas etapas de instalación aparece, probablemente bien escondido entre mucho texto, declaraciones relacionados al Spyware, y es que lo estamos aceptando sin siquiera darnos cuenta. Esta modalidad viola claramente nuestra privacidad, pero debido a que pulsamos el botón de aceptar, no podemos hacer nada al respecto.
Podríamos comparar el Spyware con Cookies, lo cual ha sido comentado en los códigos Javascript de este mes. Sin embargo Las cookies no son capaces de almacenar tanta cantidad de información, y mucho menos de manipular una PC. Aureate/Radiate es una aplicación que registra información del usuario, e incluso tiene la capacidad de instalar aplicaciones adicionales sin necesidad de pedir permiso. Otros Spywares colocan avisos publicitarios en las páginas Web que visitamos. Puede apreciarse lo dañino que puede resultar ser uno de estos gusanos, que trabajan de forma invisible.
Spyware es otro concepto que deben soportar los usuarios de Internet, y hace referencia a programa espía, es decir, una aplicación que analiza nuestras actividades, principalmente en la Web. Actualmente este tema da mucho de que hablar, y en este artículo veremos cómo es posible que instalemos un Spyware sin darnos cuenta, y cómo eliminarlo del sistema.
Muchos programas, para compartir información, para optimizar nuestra PC, y demás, pueden contener en su interior un Spyware, y en este caso estamos hablando de Ad-ware, programa gratuitos, pero que utilizan mecanismos publicitarios basándose en el perfil de cada usuario. Es común, al efectuar la instalación de un programa, aceptar todo lo que nos muestra el asistente para finalizar el proceso y comenzar a utilizarlo. Pero en una de estas etapas de instalación aparece, probablemente bien escondido entre mucho texto, declaraciones relacionados al Spyware, y es que lo estamos aceptando sin siquiera darnos cuenta. Esta modalidad viola claramente nuestra privacidad, pero debido a que pulsamos el botón de aceptar, no podemos hacer nada al respecto.
Podríamos comparar el Spyware con Cookies, lo cual ha sido comentado en los códigos Javascript de este mes. Sin embargo Las cookies no son capaces de almacenar tanta cantidad de información, y mucho menos de manipular una PC. Aureate/Radiate es una aplicación que registra información del usuario, e incluso tiene la capacidad de instalar aplicaciones adicionales sin necesidad de pedir permiso. Otros Spywares colocan avisos publicitarios en las páginas Web que visitamos. Puede apreciarse lo dañino que puede resultar ser uno de estos gusanos, que trabajan de forma invisible.
Cómo evitar el spy-ware, o programas espía
Cómo evitar el spy-ware, o programas espía
La protección de la privacidad se ha convertido en una de las máximas preocupaciones de los usuarios a la hora de navegar por Internet. Sin embargo, al mismo tiempo, cada vez es mayor el interés por conocer datos que permitan identificar a cada internauta, sobre todo con propósitos comerciales. La mayoría de las empresas consiguen los detalles de clientes potenciales a través de prácticas totalmente transparentes y legales, aunque, como en todo, hay excepciones. Existen usuarios maliciosos y compañías de ética bastante dudosa que se afanan por conseguir la mayor cantidad de información confidencial posible sin importarles el procedimiento a seguir para ello.
Ello propició el nacimiento de los llamados programas espía, o spy-ware, aplicaciones diseñadas para conseguir datos de los usuarios sin que estos se percaten de su presencia. Un spy-ware oculto en un sistema puede llegar a elaborar un perfil muy concreto del usuario habitual de un ordenador, mostrando, por ejemplo, sus preferencias en cuanto a tipo de páginas web que visita, tiempo que navega, su equipo de fútbol favorito e incluso, en un caso extremo, su religión o sus preferencias sexuales. Es evidente, por tanto, que la presencia de spy-ware en un ordenador constituye una intromisión en la privacidad del usuario que no debería ser consentida en ningún caso.
Muchas veces los datos recogidos son vendidos a terceros, que llegan a pagar importantes sumas por ellos. Así, nos encontramos ante una práctica que constituye un lucrativo negocio y que, por tanto, augura que la proliferación de spy-ware lejos de remitir, irá en aumento.
Debe tenerse en cuenta que el spy-ware se instala en los ordenadores con suma facilidad. Son muchos los usuarios que, tras un análisis exhaustivo de su sistema, se sorprenden del número de programas de este tipo que encuentran.
La forma más común en que el spy-ware llega a los ordenadores es a través de programas que aparentemente no tienen ninguna peligrosidad. Pueden ser aplicaciones freeware, shareware, o demos de cualquier tipo. Y lo peor de todo es que el que una descarga contenga o no spy-ware no depende tanto de si el archivo a descargar es fiable o no, sino de dónde se descarga. De hecho, puede darse el caso de que aplicaciones conocidas y libres de toda sospecha hayan sido manipuladas para contener un programa espía. Esta manera de ocultarse en el interior de programas no sospechosos permite que, al mismo tiempo que el usuario instala la aplicación de acaba de descargar, lo haga el programa espía.
Cómo protegerse contra el spy-ware
- Realice descargas desde Internet solamente a través de sitios web fiables, evitando hacerlo desde páginas web de origen dudoso, sea cual sea la aplicación o archivo a descargar.
- Preste atención a los textos de las distintas ventanas que aparecen durante la instalación de los programas. Algunos spy-ware muestran una ventana pidiendo su consentimiento para ser instalados en los sistemas, si bien lo hacen mezclándose entre las pantallas de instalación de aplicaciones que no tienen ninguna relación con el software espía.
- Instale un antivirus en su sistema, asegurándose de que también detecta y elimina spy-ware. Por otra parte, existen algunas aplicaciones dedicadas exclusivamente a esta tarea, si bien lo más aconsejable es combinarlas con una adecuada protección contra virus.
- Proteja con un firewall (hardware o software) sus conexiones a Internet. De esta manera, aunque tenga algún spy-ware que esté recogiendo información en su sistema, no podrá enviarla fuera del equipo ya que para ello suelen emplear puertos de comunicaciones desprotegidos.
La protección de la privacidad se ha convertido en una de las máximas preocupaciones de los usuarios a la hora de navegar por Internet. Sin embargo, al mismo tiempo, cada vez es mayor el interés por conocer datos que permitan identificar a cada internauta, sobre todo con propósitos comerciales. La mayoría de las empresas consiguen los detalles de clientes potenciales a través de prácticas totalmente transparentes y legales, aunque, como en todo, hay excepciones. Existen usuarios maliciosos y compañías de ética bastante dudosa que se afanan por conseguir la mayor cantidad de información confidencial posible sin importarles el procedimiento a seguir para ello.
Ello propició el nacimiento de los llamados programas espía, o spy-ware, aplicaciones diseñadas para conseguir datos de los usuarios sin que estos se percaten de su presencia. Un spy-ware oculto en un sistema puede llegar a elaborar un perfil muy concreto del usuario habitual de un ordenador, mostrando, por ejemplo, sus preferencias en cuanto a tipo de páginas web que visita, tiempo que navega, su equipo de fútbol favorito e incluso, en un caso extremo, su religión o sus preferencias sexuales. Es evidente, por tanto, que la presencia de spy-ware en un ordenador constituye una intromisión en la privacidad del usuario que no debería ser consentida en ningún caso.
Muchas veces los datos recogidos son vendidos a terceros, que llegan a pagar importantes sumas por ellos. Así, nos encontramos ante una práctica que constituye un lucrativo negocio y que, por tanto, augura que la proliferación de spy-ware lejos de remitir, irá en aumento.
Debe tenerse en cuenta que el spy-ware se instala en los ordenadores con suma facilidad. Son muchos los usuarios que, tras un análisis exhaustivo de su sistema, se sorprenden del número de programas de este tipo que encuentran.
La forma más común en que el spy-ware llega a los ordenadores es a través de programas que aparentemente no tienen ninguna peligrosidad. Pueden ser aplicaciones freeware, shareware, o demos de cualquier tipo. Y lo peor de todo es que el que una descarga contenga o no spy-ware no depende tanto de si el archivo a descargar es fiable o no, sino de dónde se descarga. De hecho, puede darse el caso de que aplicaciones conocidas y libres de toda sospecha hayan sido manipuladas para contener un programa espía. Esta manera de ocultarse en el interior de programas no sospechosos permite que, al mismo tiempo que el usuario instala la aplicación de acaba de descargar, lo haga el programa espía.
Cómo protegerse contra el spy-ware
- Realice descargas desde Internet solamente a través de sitios web fiables, evitando hacerlo desde páginas web de origen dudoso, sea cual sea la aplicación o archivo a descargar.
- Preste atención a los textos de las distintas ventanas que aparecen durante la instalación de los programas. Algunos spy-ware muestran una ventana pidiendo su consentimiento para ser instalados en los sistemas, si bien lo hacen mezclándose entre las pantallas de instalación de aplicaciones que no tienen ninguna relación con el software espía.
- Instale un antivirus en su sistema, asegurándose de que también detecta y elimina spy-ware. Por otra parte, existen algunas aplicaciones dedicadas exclusivamente a esta tarea, si bien lo más aconsejable es combinarlas con una adecuada protección contra virus.
- Proteja con un firewall (hardware o software) sus conexiones a Internet. De esta manera, aunque tenga algún spy-ware que esté recogiendo información en su sistema, no podrá enviarla fuera del equipo ya que para ello suelen emplear puertos de comunicaciones desprotegidos.
Síntomas de las infecciones con troyanos
- Aparición y/o desaparición de archivos.
- Ralentización del sistema.
- Aparición de archivos temporales sin justificación.
- Bloqueos continuos del PC.
- Reinicios continuos del PC.
- Inicialización/Finalización de programas sin justificación.
- La bandeja del CD se abre/cierra sin motivo alguno.
- El teclado deja de funcionar.
- Actividad en el módem cuando no se está realizando ningún tipo de comunicación. Las luces indicadoras del modem (externo) o el LED de actividad del disco duro (interno) pueden indicar este tipo de actividad.
- El servidor de Internet no reconoce nuestro nombre y contraseña o indica que ya está siendo utilizado. Lo mismo con el correo.
- Ejecución de sonidos sin justificación.
- Presencia de ficheros TXT o sin extensión en el HD (normalmente en -c:\-) en los que reconocemos palabras/frases/conversaciones/comandos,... que hemos escrito anteriormente (captura del teclado por parte del atacante).
- Presencia de archivos y/o carpetas con caracteres extraños, (como por ejemplo -|î ìäñòó càïóñêà-, que es el path por defecto del NetBus 2.X, o -%windir%\patch.exe%windir%\KeyHook.dll-, path por defecto del NetBus 1.X).
- Aparición de una ventana con un mensaje tipo: "TE HE METIDO UN TROYANO" -Este podría ser ya es un síntoma muy claro de una infección de troyano
- Ralentización del sistema.
- Aparición de archivos temporales sin justificación.
- Bloqueos continuos del PC.
- Reinicios continuos del PC.
- Inicialización/Finalización de programas sin justificación.
- La bandeja del CD se abre/cierra sin motivo alguno.
- El teclado deja de funcionar.
- Actividad en el módem cuando no se está realizando ningún tipo de comunicación. Las luces indicadoras del modem (externo) o el LED de actividad del disco duro (interno) pueden indicar este tipo de actividad.
- El servidor de Internet no reconoce nuestro nombre y contraseña o indica que ya está siendo utilizado. Lo mismo con el correo.
- Ejecución de sonidos sin justificación.
- Presencia de ficheros TXT o sin extensión en el HD (normalmente en -c:\-) en los que reconocemos palabras/frases/conversaciones/comandos,... que hemos escrito anteriormente (captura del teclado por parte del atacante).
- Presencia de archivos y/o carpetas con caracteres extraños, (como por ejemplo -|î ìäñòó càïóñêà-, que es el path por defecto del NetBus 2.X, o -%windir%\patch.exe%windir%\KeyHook.dll-, path por defecto del NetBus 1.X).
- Aparición de una ventana con un mensaje tipo: "TE HE METIDO UN TROYANO" -Este podría ser ya es un síntoma muy claro de una infección de troyano
SABER SI HAY UN TROYANO EN MI EQUIPO
A continuación, BitDefender, distribuidor líder de software y servicios de seguridad informática, enumera una serie de síntomas que pueden indicarnos si nuestro sistema ha sido víctima de algún troyano:
- Aparición y/o desaparición de archivos.
- Ralentización del sistema.
- Aparición de archivos temporales sin justificación.
- Bloqueos continuos del PC.
- Reinicios continuos del PC.
- Inicialización/Finalización de programas sin justificación.
- La bandeja del CD se abre/cierra sin motivo alguno.
- El teclado deja de funcionar.
- Actividad en el módem cuando no se está realizando ningún tipo de comunicación. Las luces indicadoras del modem (externo) o el LED de actividad del disco duro (interno) pueden indicar este tipo de actividad.
- El servidor de Internet no reconoce nuestro nombre y contraseña o indica que ya está siendo utilizado. Lo mismo con el correo.
- Ejecución de sonidos sin justificación.
- Presencia de ficheros TXT o sin extensión en el HD (normalmente en -c:-) en los que reconocemos palabras/frases/conversaciones/comandos,... que hemos escrito anteriormente (captura del teclado por parte del atacante).
- Presencia de archivos y/o carpetas con caracteres extraños, (como por ejemplo -|î ìäñòó càïóñêà-, que es el path por defecto del NetBus 2.X, o -%windir%patch.exe%windir%KeyHook.dll-, path por defecto del NetBus 1.X).
- Aparición de una ventana con un mensaje tipo: "TE HE METIDO UN TROYANO" - Este podría ser ya es un síntoma muy claro de una infección de troyano.
- Aparición y/o desaparición de archivos.
- Ralentización del sistema.
- Aparición de archivos temporales sin justificación.
- Bloqueos continuos del PC.
- Reinicios continuos del PC.
- Inicialización/Finalización de programas sin justificación.
- La bandeja del CD se abre/cierra sin motivo alguno.
- El teclado deja de funcionar.
- Actividad en el módem cuando no se está realizando ningún tipo de comunicación. Las luces indicadoras del modem (externo) o el LED de actividad del disco duro (interno) pueden indicar este tipo de actividad.
- El servidor de Internet no reconoce nuestro nombre y contraseña o indica que ya está siendo utilizado. Lo mismo con el correo.
- Ejecución de sonidos sin justificación.
- Presencia de ficheros TXT o sin extensión en el HD (normalmente en -c:-) en los que reconocemos palabras/frases/conversaciones/comandos,... que hemos escrito anteriormente (captura del teclado por parte del atacante).
- Presencia de archivos y/o carpetas con caracteres extraños, (como por ejemplo -|î ìäñòó càïóñêà-, que es el path por defecto del NetBus 2.X, o -%windir%patch.exe%windir%KeyHook.dll-, path por defecto del NetBus 1.X).
- Aparición de una ventana con un mensaje tipo: "TE HE METIDO UN TROYANO" - Este podría ser ya es un síntoma muy claro de una infección de troyano.
Listado de puertos utilizados por los Troyanos
Este resumen no está disponible. Haz
clic en este enlace para ver la entrada.
Cómo deshacerse de un troyano
Un troyano es simplemente un programa que se hace pasar por otro. Si hace tiempo que navegan por Internet seguro han oído hablar de NetBus, Back Orifice, Sub Seven, Donald Dick o NetSphere, entre otros.
En la mayoría de los casos estos programas están usados por gente que se cree hacker solo porque saben usar estos programas y atacan para asustar o abusarse de los que no saben.
¿Cómo un troyano puede entrar en nuestra PC? Si nos envían un archivo EXE o SCR haciendonos creer que se trata de algo muy interesante, y cuando (incautos) lo ejecutamos... probablemente no pasó nada, o algo no muy interesante. Pero en realidad lo que ocurrió fué que acabamos de instalar un "control remoto" para que este "Lamer" pueda controlar nuestro sistema a su antojo. Fuimos engañados. Ejecutamos, sin saberlo, un troyano.
Recomendaciones
Antes que nada, les recomiendo siempre tener un buen antivirus actualizado y un firewall. Para algunos de los troyanos mencionados en este tutorial, existen programas que los eliminan, como por ejemplo el NetBuster, en el caso del NetBus.
¿Que uso tiene el MataProcesos en temas de seguridad?
Por las razones antes mencionadas les voy a hablar, antes que nada del MataProcesos:
Este pequeño programa, (hecho cuando comenzó el furor del Back Orifice) se llama "MataProcesos" y es una pequeña utilidad que cumple la función que debería estar incluída en la ventana de CTRL-ALT-DEL. Curiosamente esta utilidad tan "pequeña" (ocupa 40 Kb y cumple una tarea muy sencilla) nos será de enorme ayuda con el tema de la seguridad.
Cuando uno ejecuta el MataProcesos un icono (una señal de STOP) se coloca en la barra de tareas. si queremos cerrar un programa rapidamente (alguno que se colgó, o de esos que no aparecen en el CTR-ALT-DEL, como por ejemplo UN BACKDOOR como el patch del NetBus, si es que algun "vivo" nos lo metió) haremos doble click en el STOP y se abrirá una ventana con un listado de todos los procesos reales que se están ejecutando en el momento, listados por nombre de archivo ejecutable.
Para cerrar (matar) un proceso, basta con hacer doble click en el item de la lista que lo representa, y responder que SI a la pregunta que MataProcesos nos hace cuando pide la confirmación.
Notemos que dije que con MataProcesos podemos matar a "todos los procesos", lo cual incluye también a los procesos vitales del Windows, por lo que la primera vez, por falta de experiencia, podriamos "matar" al Windows mismo, obligándonos a reiniciar el ordenador.
Este programa es útil, por ejemplo, si estamos siendo víctima de un troyano, es decir, alguien nos está "molestando", mostrando mensajes extraños en nuestra pantalla sin nuestra autorización, mostrandonos imágenes y abriendo y cerrando la bandeja de nuestro CD-ROM.
"Matar" un troyano, paso a paso
Si tenemos un troyano tenemos que apurarnos a quitarnoslo de encima, porque por el momento también el "Lamer" tiene acceso a nuestros archivos, para robarlos o borrarlos.
El modo de usar el MataProcesos en este caso sería simplemente seleccionar el proceso adecuado (el del troyano) y terminarlo.
¿Cómo reconocemos al troyano? Bueno, suponiendo que la lista que MataProcesos nos muestra es la siguiente:
C:WINDOWSSYSTEMKERNEL32.DLL
C:WINDOWSSYSTEMMSGSVR32.EXE
C:WINDOWSSYSTEMmmtask.tsk
C:WINDOWSEXPLORER.EXE
C:WINDOWSTASKMON.EXE
C:WINDOWSSYSTEMSYSTRAY.EXE
C:WINDOWSPATCH.EXE
C:WINDOWSWINDOW.EXE
C:WINDOWSSYSTEM .EXE
C:WINDOWSSYSTEMNSSX.EXE
C:WINDOWSRNAAPP.EXE
C:WINDOWSTAPISVR.EXE
C:ARCHIVOS DE PROGRAMAICQICQ.EXE
C:ARCHIVOS DE PROGRAMAOUTLOOK EXPRESSMSIMN.EXE
C:ARCHIVOS DE PROGRAMAMATAPROCESOSMATAPROCESOS.EXE
En este caso nos encontramos con un ordenador LLENO DE TROYANOS, es decir, su seguridad ha sido totalmente violada. ¿Cómo nos damos cuenta de eso?
Hace falta estar acostumbrado al MataProcesos, en otras palabras, saber el proceso que cada archivo está ejecutando.
Si tenemos en cuenta que es muy dificil que un troyano se instale en otro lado que no sea los directorios WINDOWS o SYSTEM, ya descartamos tres posibilidades (las tres últimas, pero es más seguro descartarlas cuando conocemos la función de cada una de ellas), veamos:
C:ARCHIVOS DE PROGRAMAICQICQ.EXE
Es ni más ni menos que el ICQ, si lo matamos, se nos cierra el ICQ.
C:ARCHIVOS DE PROGRAMAOUTLOOK EXPRESSMSIMN.EXE
Se trata, como se podrán imaginar, del Outlook Express.
C:ARCHIVOS DE PROGRAMAMATAPROCESOSMATAPROCESOS.EXE
Este es tanto o más obvio que los anteriores, nosotros mismos acabamos de ejecutarlo. Es el MataProcesos.
También hay que conocer otros procesos comunes de Windows, ¿y cómo lo hacemos? si se trata de algunos de los que ya nombré, yo mismo voy a presentarselos, pero si son otros que no se mustran aquí, probablemente con el método de "prueba y error".
Veamos:
C:WINDOWSSYSTEMKERNEL32.DLL
Este es el "corazón" del Windows, si lo cerramos, tendremos que reiniciar.
C:WINDOWSSYSTEMMSGSVR32.EXE
Este es una utilidad interna, si la cerramos el sistema probablemente pierda estabilidad.
C:WINDOWSSYSTEMmmtask.tsk
Cerrar este es imposible. Siempre vuelve a aparecer. Tiene que ver con las tareas multimedia que el Windows realiza.
C:WINDOWSEXPLORER.EXE
Se trata del explorador. Gestiona tanto al Internet Explorer como al Windows Explorer. También gestiona la barra de tareas. Si lo cerramos se nos cierran estas tres cosas. (Generalmente se vuelve a ejecutar automáticamente)
C:WINDOWSTASKMON.EXE
Es el monitor de tareas de Windows. Si lo cerramos aparentemente no ocurre nada, pero no recomiendo cerrar procesos sin saber exactamente qué función cumplen, a menos que no nos moleste vernos obligados a reiniciar.
C:WINDOWSSYSTEMSYSTRAY.EXE
Es el "parlantito" (el audífono) que aparece en la barra de tareas, el programa que nos dá el control del volumen de sonidos de Windows. Si lo cerramos, el parlante (la bocina) desaparece.
C:WINDOWSRNAAPP.EXE C:WINDOWSTAPISVR.EXE
Estos dos son los que se ejecutaron cuando nos conectamos a Internet. Si los cerramos la conexión se corta y no podremos volver a conectarnos hasta reiniciar la computadora.
Pues bien, ¿qué nos queda?
C:WINDOWSPATCH.EXE C:WINDOWSWINDOW.EXE C:WINDOWSSYSTEM .EXE C:WINDOWSSYSTEMNSSX.EXE
Se trata ni más ni menos que de ¡cuatro troyanos! Toda una exageración... Nuestra seguridad (la de nuestros archivos) se ve totalmente violada por culpa de cada uno de estos procesos... ¿Cómo podemos estar seguros de que se trata de troyanos? Eso lo explico en el apartado que viene, pero en el caso de estos cuatro, basta con decir que ya son tán famosos que no hace falta hacer las comprobaciones.
C:WINDOWSPATCH.EXE
Es el patch del NetBus.
C:WINDOWSSYSTEM .EXE
Es el servidor del Back Orifice
C:WINDOWSSYSTEMNSSX.EXE
Es el servidor del NetSphere
C:WINDOWSWINDOW.EXE
Es otro troyano.
Matando a LOS CUATRO podemos continuar navegando tranquilos, ya que el agresor perdió totalmente su poder. PERO CUIDADO, nuestro sistema seguramente fué modificado para que estos programas se ejecuten cada vez que arrancamos, y como el MataProceso no los borra del disco, sino simplemente los erradica de la memoria, no estamos a salvo de que la próxima vez que reiniciemos ¡los troyanos estén nuevamente allí!
Para librarnos de ellos para siempre leamos los siguientes puntos:
Aclaraciones:
Para que el MataProcesos funcione hace falta tener instalados los 'runtimes' de Visual Basic 5. Si no los tenés los podés conseguir en:
ftp://ftp.simtel.net/pub/simtelnet/win95/dll/vb500a.zip
o en el mirror: ftp://ftp.cdrom.com/pub/simtelnet/win95/dll/vb500a.zip
Mataprocesos y Netstat, suficiente para erradicar cualquier troyano
Existe una aplicación llamada Netstat, y está ubicada en C:WINDOWS. Con ella y la ayuda del MataProcesos podemos limpiar nuestra PC de troyanos.
Para hacerlo correctamente hay que seguir los siguientes pasos:
a) Nos desconectamos de Internet
b) Cerramos todas las aplicaciones que utilicen conexiones a Internet, por ejemplo: ICQ - Internet Explorer o Netscape - GetRight - Go!Zilla - Telnet - mIRC - MSChat - Outlook - Outlook Express - etc...
c) Ejecutamos el MataProcesos
d) Ejecutamos una ventana de DOS
e) En la línea de comandos del DOS tecleamos "netstat -a" y tomamos nota de todos los "puertos" que aparecen como "abiertos", estos aparecen en la columna "Dirección local" con el formato: :
Por ejemplo, podríamos tener el siguiente listado:
Proto Dirección local Dirección remota Estado
TCP Donatien:6711 0.0.0.0:0 LISTENING
TCP Donatien:6776 0.0.0.0:0 LISTENING
TCP Donatien:30100 0.0.0.0:0 LISTENING
TCP Donatien:30101 0.0.0.0:0 LISTENING
TCP Donatien:30102 0.0.0.0:0 LISTENING
TCP Donatien:1243 0.0.0.0:0 LISTENING
TCP Donatien:1035 0.0.0.0:0 LISTENING
UDP Donatien:1035 *:*
Lo cual significa que tenemos procesos en nuestro ordenador que están esperando conección en los puertos: 6711, 6776, 30100, 30101, 30102, 1234, y 1035.
f) Comenzamos a matar, uno por uno, los procesos que no sabemos que función cumplen. Si matamos alguno que no debíamos, y el ordenador se bloquea, ya sabemos para la próxima vez que ese proceso no es un troyano, y que no hay que matarlo
Ejemplo: decido matar al proceso llamado:
C:WINDOWSSYSTEMNSSX.EXE
que es muy sospechoso...
Luego, volvemos a la ventana de DOS y pedimos otro listado de "Netstat -a", que nos devuelve lo siguiente:
Proto Dirección local Dirección remota Estado
TCP Donatien:6711 0.0.0.0:0 LISTENING
TCP Donatien:6776 0.0.0.0:0 LISTENING
TCP Donatien:1243 0.0.0.0:0 LISTENING
TCP Donatien:1035 0.0.0.0:0 LISTENING
UDP Donatien:1035 *:*
Por suspuesto!!! Se han cerrado tres puertos!! (30100, 30101 y 30102, que ya no aparecen en el listado) Al estar seguros que NSSX.EXE no pertenece a ningún programa que nosotros hayamos instalado, y de que el sistema continúa ejecutándose sin ningún problema (o sea que no era parte del Windows), podemos cambiarle el nombre al archivo para que no se vuelva a ejecutar la próxima vez que reiniciemos. Para eso usamos el comando "RENAME C:WINDOWSSYSTEMNSSX.EXE C:WINDOWSSYSTEMNSSX.EX_".
Nótese que tán solo le cambiamos la extensión, para, en caso de habernos equivocado, recuperar el archivo fácilmente.
Podemos renombrar al archivo debido a que ya lo matamos. Si el proceso estuviera ejecutándose no podríamos modificar ni borrar el NSSX.EXE
Ahora, aunque no es del todo indispensable, y no es recomendable para los novatos absolutos, podríamos abrir el registro de windows con el REGEDIT y eliminar la entrada que antes ejecutaba el troyano cada vez que encendíamos la máquina. La entrada está dentro de la rama: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun y es la siguiente: "NSSX" y su valor es "C:WINDOWSsystem ssx.exe"
Para borrarla basta con marcarla con el mouse, pulsar DEL, y confirmar.
Sigamos con otro ejemplo, sabemos que la lista del "Netstat -a" es ahora más corta:
Proto Dirección local Dirección remota Estado
TCP Donatien:6711 0.0.0.0:0 LISTENING
TCP Donatien:6776 0.0.0.0:0 LISTENING
TCP Donatien:1243 0.0.0.0:0 LISTENING
TCP Donatien:1035 0.0.0.0:0 LISTENING
UDP Donatien:1035 *:*
Pues bien, ahora procedamos a cerrar el proceso: C:WINDOWSWINDOW.EXE
El sistema sigue perfectamente estable, y volvemos a pedir el "Netstat -a" y...
Proto Dirección local Dirección remota Estado
TCP Donatien:1035 0.0.0.0:0 LISTENING
UDP Donatien:1035 *:*
Ohhhhh!! Se han cerrado otros tres puertos! (aclaro que un troyano no necesariamente utiliza 3 puertos, puede utilizar más, o menos).
Próximo paso: renombramos el archivo para que no vuelva a ejecutarse nunca más, vamos a la ventana de DOS, y escribimos: "RENAME C:WINDOWSWINDOW.EXE C:WINDOWSWINDOW.EX_"
Como ya dije, también podemos eliminar la entrada del registro que lo ejecuta, pero como, habiendo renombrado el archivo, ya no es necesario.
Como en mi caso, por experiencia, sé que el puerto 1035 no se trata de un troyano, no voy a continuar matando procesos, pero si tuviera más puertos abiertos, (en el ejemplo que dí al principio había cuatro troyanos y no dos) continuaría haciendolo hasta encontrarlos todos.
Quiero aclarar que no es muy comun que un ordenador esté lleno de troyanos como en estos ejemplos, pero si notan que alguien está molestándolos de un modo extraño cuando entran a Internet, intenten con esta "limpieza".
Otra aclaración: Si matan procesos que no son troyanos NO HAY PROBLEMA, lo peor que puede ocurrir es que tengan que reiniciar la máquina. Sólo asegurense de no tener archivos sin grabar (como un documento de Word) para no perderlo, al momento de estar haciendo estas comprobaciones.
También cabe aclarar que, aunque yo no conozco ninguno, pueden existir troyanos más "inteligentes", que no tengan puertos abiertos cuando no estamos conectados, a esos hay que detectarlos por un método diferente, o bien, intentar hacerlo mientras estamos conectados a Internet (aunque en ese caso la cosa se complicaría debido a los demás programas que utilizan Internet -como el ICQ- y abren a su vez sus propios puertos, con lo cual la lista se hace más difícil de interpretar).
En la mayoría de los casos estos programas están usados por gente que se cree hacker solo porque saben usar estos programas y atacan para asustar o abusarse de los que no saben.
¿Cómo un troyano puede entrar en nuestra PC? Si nos envían un archivo EXE o SCR haciendonos creer que se trata de algo muy interesante, y cuando (incautos) lo ejecutamos... probablemente no pasó nada, o algo no muy interesante. Pero en realidad lo que ocurrió fué que acabamos de instalar un "control remoto" para que este "Lamer" pueda controlar nuestro sistema a su antojo. Fuimos engañados. Ejecutamos, sin saberlo, un troyano.
Recomendaciones
Antes que nada, les recomiendo siempre tener un buen antivirus actualizado y un firewall. Para algunos de los troyanos mencionados en este tutorial, existen programas que los eliminan, como por ejemplo el NetBuster, en el caso del NetBus.
¿Que uso tiene el MataProcesos en temas de seguridad?
Por las razones antes mencionadas les voy a hablar, antes que nada del MataProcesos:
Este pequeño programa, (hecho cuando comenzó el furor del Back Orifice) se llama "MataProcesos" y es una pequeña utilidad que cumple la función que debería estar incluída en la ventana de CTRL-ALT-DEL. Curiosamente esta utilidad tan "pequeña" (ocupa 40 Kb y cumple una tarea muy sencilla) nos será de enorme ayuda con el tema de la seguridad.
Cuando uno ejecuta el MataProcesos un icono (una señal de STOP) se coloca en la barra de tareas. si queremos cerrar un programa rapidamente (alguno que se colgó, o de esos que no aparecen en el CTR-ALT-DEL, como por ejemplo UN BACKDOOR como el patch del NetBus, si es que algun "vivo" nos lo metió) haremos doble click en el STOP y se abrirá una ventana con un listado de todos los procesos reales que se están ejecutando en el momento, listados por nombre de archivo ejecutable.
Para cerrar (matar) un proceso, basta con hacer doble click en el item de la lista que lo representa, y responder que SI a la pregunta que MataProcesos nos hace cuando pide la confirmación.
Notemos que dije que con MataProcesos podemos matar a "todos los procesos", lo cual incluye también a los procesos vitales del Windows, por lo que la primera vez, por falta de experiencia, podriamos "matar" al Windows mismo, obligándonos a reiniciar el ordenador.
Este programa es útil, por ejemplo, si estamos siendo víctima de un troyano, es decir, alguien nos está "molestando", mostrando mensajes extraños en nuestra pantalla sin nuestra autorización, mostrandonos imágenes y abriendo y cerrando la bandeja de nuestro CD-ROM.
"Matar" un troyano, paso a paso
Si tenemos un troyano tenemos que apurarnos a quitarnoslo de encima, porque por el momento también el "Lamer" tiene acceso a nuestros archivos, para robarlos o borrarlos.
El modo de usar el MataProcesos en este caso sería simplemente seleccionar el proceso adecuado (el del troyano) y terminarlo.
¿Cómo reconocemos al troyano? Bueno, suponiendo que la lista que MataProcesos nos muestra es la siguiente:
C:WINDOWSSYSTEMKERNEL32.DLL
C:WINDOWSSYSTEMMSGSVR32.EXE
C:WINDOWSSYSTEMmmtask.tsk
C:WINDOWSEXPLORER.EXE
C:WINDOWSTASKMON.EXE
C:WINDOWSSYSTEMSYSTRAY.EXE
C:WINDOWSPATCH.EXE
C:WINDOWSWINDOW.EXE
C:WINDOWSSYSTEM .EXE
C:WINDOWSSYSTEMNSSX.EXE
C:WINDOWSRNAAPP.EXE
C:WINDOWSTAPISVR.EXE
C:ARCHIVOS DE PROGRAMAICQICQ.EXE
C:ARCHIVOS DE PROGRAMAOUTLOOK EXPRESSMSIMN.EXE
C:ARCHIVOS DE PROGRAMAMATAPROCESOSMATAPROCESOS.EXE
En este caso nos encontramos con un ordenador LLENO DE TROYANOS, es decir, su seguridad ha sido totalmente violada. ¿Cómo nos damos cuenta de eso?
Hace falta estar acostumbrado al MataProcesos, en otras palabras, saber el proceso que cada archivo está ejecutando.
Si tenemos en cuenta que es muy dificil que un troyano se instale en otro lado que no sea los directorios WINDOWS o SYSTEM, ya descartamos tres posibilidades (las tres últimas, pero es más seguro descartarlas cuando conocemos la función de cada una de ellas), veamos:
C:ARCHIVOS DE PROGRAMAICQICQ.EXE
Es ni más ni menos que el ICQ, si lo matamos, se nos cierra el ICQ.
C:ARCHIVOS DE PROGRAMAOUTLOOK EXPRESSMSIMN.EXE
Se trata, como se podrán imaginar, del Outlook Express.
C:ARCHIVOS DE PROGRAMAMATAPROCESOSMATAPROCESOS.EXE
Este es tanto o más obvio que los anteriores, nosotros mismos acabamos de ejecutarlo. Es el MataProcesos.
También hay que conocer otros procesos comunes de Windows, ¿y cómo lo hacemos? si se trata de algunos de los que ya nombré, yo mismo voy a presentarselos, pero si son otros que no se mustran aquí, probablemente con el método de "prueba y error".
Veamos:
C:WINDOWSSYSTEMKERNEL32.DLL
Este es el "corazón" del Windows, si lo cerramos, tendremos que reiniciar.
C:WINDOWSSYSTEMMSGSVR32.EXE
Este es una utilidad interna, si la cerramos el sistema probablemente pierda estabilidad.
C:WINDOWSSYSTEMmmtask.tsk
Cerrar este es imposible. Siempre vuelve a aparecer. Tiene que ver con las tareas multimedia que el Windows realiza.
C:WINDOWSEXPLORER.EXE
Se trata del explorador. Gestiona tanto al Internet Explorer como al Windows Explorer. También gestiona la barra de tareas. Si lo cerramos se nos cierran estas tres cosas. (Generalmente se vuelve a ejecutar automáticamente)
C:WINDOWSTASKMON.EXE
Es el monitor de tareas de Windows. Si lo cerramos aparentemente no ocurre nada, pero no recomiendo cerrar procesos sin saber exactamente qué función cumplen, a menos que no nos moleste vernos obligados a reiniciar.
C:WINDOWSSYSTEMSYSTRAY.EXE
Es el "parlantito" (el audífono) que aparece en la barra de tareas, el programa que nos dá el control del volumen de sonidos de Windows. Si lo cerramos, el parlante (la bocina) desaparece.
C:WINDOWSRNAAPP.EXE C:WINDOWSTAPISVR.EXE
Estos dos son los que se ejecutaron cuando nos conectamos a Internet. Si los cerramos la conexión se corta y no podremos volver a conectarnos hasta reiniciar la computadora.
Pues bien, ¿qué nos queda?
C:WINDOWSPATCH.EXE C:WINDOWSWINDOW.EXE C:WINDOWSSYSTEM .EXE C:WINDOWSSYSTEMNSSX.EXE
Se trata ni más ni menos que de ¡cuatro troyanos! Toda una exageración... Nuestra seguridad (la de nuestros archivos) se ve totalmente violada por culpa de cada uno de estos procesos... ¿Cómo podemos estar seguros de que se trata de troyanos? Eso lo explico en el apartado que viene, pero en el caso de estos cuatro, basta con decir que ya son tán famosos que no hace falta hacer las comprobaciones.
C:WINDOWSPATCH.EXE
Es el patch del NetBus.
C:WINDOWSSYSTEM .EXE
Es el servidor del Back Orifice
C:WINDOWSSYSTEMNSSX.EXE
Es el servidor del NetSphere
C:WINDOWSWINDOW.EXE
Es otro troyano.
Matando a LOS CUATRO podemos continuar navegando tranquilos, ya que el agresor perdió totalmente su poder. PERO CUIDADO, nuestro sistema seguramente fué modificado para que estos programas se ejecuten cada vez que arrancamos, y como el MataProceso no los borra del disco, sino simplemente los erradica de la memoria, no estamos a salvo de que la próxima vez que reiniciemos ¡los troyanos estén nuevamente allí!
Para librarnos de ellos para siempre leamos los siguientes puntos:
Aclaraciones:
Para que el MataProcesos funcione hace falta tener instalados los 'runtimes' de Visual Basic 5. Si no los tenés los podés conseguir en:
ftp://ftp.simtel.net/pub/simtelnet/win95/dll/vb500a.zip
o en el mirror: ftp://ftp.cdrom.com/pub/simtelnet/win95/dll/vb500a.zip
Mataprocesos y Netstat, suficiente para erradicar cualquier troyano
Existe una aplicación llamada Netstat, y está ubicada en C:WINDOWS. Con ella y la ayuda del MataProcesos podemos limpiar nuestra PC de troyanos.
Para hacerlo correctamente hay que seguir los siguientes pasos:
a) Nos desconectamos de Internet
b) Cerramos todas las aplicaciones que utilicen conexiones a Internet, por ejemplo: ICQ - Internet Explorer o Netscape - GetRight - Go!Zilla - Telnet - mIRC - MSChat - Outlook - Outlook Express - etc...
c) Ejecutamos el MataProcesos
d) Ejecutamos una ventana de DOS
e) En la línea de comandos del DOS tecleamos "netstat -a" y tomamos nota de todos los "puertos" que aparecen como "abiertos", estos aparecen en la columna "Dirección local" con el formato: :
Por ejemplo, podríamos tener el siguiente listado:
Proto Dirección local Dirección remota Estado
TCP Donatien:6711 0.0.0.0:0 LISTENING
TCP Donatien:6776 0.0.0.0:0 LISTENING
TCP Donatien:30100 0.0.0.0:0 LISTENING
TCP Donatien:30101 0.0.0.0:0 LISTENING
TCP Donatien:30102 0.0.0.0:0 LISTENING
TCP Donatien:1243 0.0.0.0:0 LISTENING
TCP Donatien:1035 0.0.0.0:0 LISTENING
UDP Donatien:1035 *:*
Lo cual significa que tenemos procesos en nuestro ordenador que están esperando conección en los puertos: 6711, 6776, 30100, 30101, 30102, 1234, y 1035.
f) Comenzamos a matar, uno por uno, los procesos que no sabemos que función cumplen. Si matamos alguno que no debíamos, y el ordenador se bloquea, ya sabemos para la próxima vez que ese proceso no es un troyano, y que no hay que matarlo
Ejemplo: decido matar al proceso llamado:
C:WINDOWSSYSTEMNSSX.EXE
que es muy sospechoso...
Luego, volvemos a la ventana de DOS y pedimos otro listado de "Netstat -a", que nos devuelve lo siguiente:
Proto Dirección local Dirección remota Estado
TCP Donatien:6711 0.0.0.0:0 LISTENING
TCP Donatien:6776 0.0.0.0:0 LISTENING
TCP Donatien:1243 0.0.0.0:0 LISTENING
TCP Donatien:1035 0.0.0.0:0 LISTENING
UDP Donatien:1035 *:*
Por suspuesto!!! Se han cerrado tres puertos!! (30100, 30101 y 30102, que ya no aparecen en el listado) Al estar seguros que NSSX.EXE no pertenece a ningún programa que nosotros hayamos instalado, y de que el sistema continúa ejecutándose sin ningún problema (o sea que no era parte del Windows), podemos cambiarle el nombre al archivo para que no se vuelva a ejecutar la próxima vez que reiniciemos. Para eso usamos el comando "RENAME C:WINDOWSSYSTEMNSSX.EXE C:WINDOWSSYSTEMNSSX.EX_".
Nótese que tán solo le cambiamos la extensión, para, en caso de habernos equivocado, recuperar el archivo fácilmente.
Podemos renombrar al archivo debido a que ya lo matamos. Si el proceso estuviera ejecutándose no podríamos modificar ni borrar el NSSX.EXE
Ahora, aunque no es del todo indispensable, y no es recomendable para los novatos absolutos, podríamos abrir el registro de windows con el REGEDIT y eliminar la entrada que antes ejecutaba el troyano cada vez que encendíamos la máquina. La entrada está dentro de la rama: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun y es la siguiente: "NSSX" y su valor es "C:WINDOWSsystem ssx.exe"
Para borrarla basta con marcarla con el mouse, pulsar DEL, y confirmar.
Sigamos con otro ejemplo, sabemos que la lista del "Netstat -a" es ahora más corta:
Proto Dirección local Dirección remota Estado
TCP Donatien:6711 0.0.0.0:0 LISTENING
TCP Donatien:6776 0.0.0.0:0 LISTENING
TCP Donatien:1243 0.0.0.0:0 LISTENING
TCP Donatien:1035 0.0.0.0:0 LISTENING
UDP Donatien:1035 *:*
Pues bien, ahora procedamos a cerrar el proceso: C:WINDOWSWINDOW.EXE
El sistema sigue perfectamente estable, y volvemos a pedir el "Netstat -a" y...
Proto Dirección local Dirección remota Estado
TCP Donatien:1035 0.0.0.0:0 LISTENING
UDP Donatien:1035 *:*
Ohhhhh!! Se han cerrado otros tres puertos! (aclaro que un troyano no necesariamente utiliza 3 puertos, puede utilizar más, o menos).
Próximo paso: renombramos el archivo para que no vuelva a ejecutarse nunca más, vamos a la ventana de DOS, y escribimos: "RENAME C:WINDOWSWINDOW.EXE C:WINDOWSWINDOW.EX_"
Como ya dije, también podemos eliminar la entrada del registro que lo ejecuta, pero como, habiendo renombrado el archivo, ya no es necesario.
Como en mi caso, por experiencia, sé que el puerto 1035 no se trata de un troyano, no voy a continuar matando procesos, pero si tuviera más puertos abiertos, (en el ejemplo que dí al principio había cuatro troyanos y no dos) continuaría haciendolo hasta encontrarlos todos.
Quiero aclarar que no es muy comun que un ordenador esté lleno de troyanos como en estos ejemplos, pero si notan que alguien está molestándolos de un modo extraño cuando entran a Internet, intenten con esta "limpieza".
Otra aclaración: Si matan procesos que no son troyanos NO HAY PROBLEMA, lo peor que puede ocurrir es que tengan que reiniciar la máquina. Sólo asegurense de no tener archivos sin grabar (como un documento de Word) para no perderlo, al momento de estar haciendo estas comprobaciones.
También cabe aclarar que, aunque yo no conozco ninguno, pueden existir troyanos más "inteligentes", que no tengan puertos abiertos cuando no estamos conectados, a esos hay que detectarlos por un método diferente, o bien, intentar hacerlo mientras estamos conectados a Internet (aunque en ese caso la cosa se complicaría debido a los demás programas que utilizan Internet -como el ICQ- y abren a su vez sus propios puertos, con lo cual la lista se hace más difícil de interpretar).
Suscribirse a:
Entradas (Atom)