Virus Policia II


Como comentábamos la semana pasada en Virus Policia I, esta infección continúa en aumento.  Todos los días nos siguen comunicando infecciones de equipos, mayoritariamente en Pcs de domicilios particulares.

Hay dos factores que están provocando estas infecciones masivas, una deficiente protección antivirus y de seguridad, y sobre todo por la relajación en las medidas de seguridad básicas en la navegación.

Veamos como proteger nuestra máquina ante una posible infección.

Simplemente, hay que restringir los permisos e impedir que podamos modificar unas ramas del registro. Para el uso cotidiano del sistema, no es necesario disfrutar de los privilegios de modificación de esas ramas. Una vez más, la solución más efectiva no está en los antivirus, sino en las herramientas integradas del propio Windows.

En XP, la rama del registro que modifica es:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Añadiendo en la directiva “shell”, el nombre del troyano, por ejemplo:

Shell=Explorer.exe, troyano.exe

Así se lanzan los dos cuando se inicia el sistema. Si, con el botón derecho, eliminamos los permisos de escritura en esa rama para los administradores, nos estaremos protegiendo. Cuidado: si se elimina el permiso a SYSTEM, el sistema quedará inestable. Sólo hay que eliminar el permiso de escritura a los administradores, nada más.

En Windows Vista y 7 tiene un comportamiento diferente (del que parece que muy pocos medios han hablado). El troyano modifica otra rama específica del usuario.

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Aquí crea otra directiva llamada shell, con la ruta del troyano.

En esta rama tienen permiso de escritura los administradores y usuarios por defecto. Pero normalmente no es un permiso necesario (a no ser que un software legítimo necesite modificarlos), así que en principio no hay ningún problema en quitárselos.

Para eliminar los permisos de las ramas del registro, primero hay que “desheredar” los permisos de las ramas superiores, eliminando la casilla “Incluir todos los permisos heredables del objeto primario de este objeto”, y copiándolos.

Luego eliminamos los permisos de escritura, para administradores y usuarios. Si se quiere ser más específico, se puede eliminar solamente el permiso de “Crear subclave”.

Con este cambio, el troyano mostrará su mensaje cuando nos infectemos, pero no podrá perpetuarlo en el arranque, con lo que la infección no se repetirá en el siguiente reinicio.

Fuente:  http://www.hispasec.com/

 

 

1 Comments

Write a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *