Descubriendo troyanos 1/3

La mayoría de las veces, es infructuosa la búsqueda de troyanos en un Windows debido a los siguientes factores:

• Se ocultan con Rootkits
• Se propagan rápidamente vía web
• Existe muchísima variedad y cada vez más
• Muchos son 0-day que antes de ser descubiertos puede pasar mucho tiempo

Esto quiere decir que un Windows infectado por un rootkit que oculte a un troyano es garantía de pertenecer, con suerte, a una botnet y en el peor de los casos, tus datos personales incluyendo contraseñas y números de tarjeta de crédito (si has realizado compras por Internet) estarán en una base de datos lista para ser vendida.

La solución que propongo es enjaular un Windows en una máquina virtual, exponer a Windows como cebo para los troyanos (navegando con IE sin cuidado) y monitorizar las conexiones de red dentro de Windows y fuera de él (mediante el S.O. anfitrión) durante días.

Comparando ambos resultados, las conexiones remotas que estén registradas fuera de Windows y que no estén registradas dentro de Windows son, seguramente conexiones realizadas por rootkits troyanizados.

En esta presentación en PDF muestro cómo realizarlo con el siguiente software:

• Ubuntu Linux 9.10
• Virtual Box 3.0.8 para Linux
• Windows, preferiblemente un XP pelado
• Internet Explorer 6
• WinPcap y WireShark

DirSize

Con Windows siempre hay una carpeta que ocupa demasiado y no sé donde está. Me pongo a buscarla y llegar a ella es tedioso: clicar en las propiedades de cada carpeta, comprobar el tamaño, y así sucesivamente...

Qué práctico sería ver directamente los tamaños de cada carpeta de la unidad C: (por ejemplo), y más práctico todavía sería ver esos tamaños ordenados para saber primero cual es la carpeta con más tamaño. Así puedo entrar en ella y repetir la operación hasta dar finalmente con la carpeta con más tamaño.

Para ello he implementado una utilidad llamada dirsize que funciona en línea de comandos y que directamente, allá donde se ejecute, te muestra los tamaños de las carpetas.

Por ejemplo, este es un pantallazo de los resultados de ejecutar dirsize en la unidad C:

Con estos resultados, ya sé que la carpeta Windows es la de mayor tamaño en la unidad C: con unos 4,7 Gb.

Ahora sólo me quedaría entrar en la carpeta Windows y volver a ejecutar dirsize para que me diga cual es la carpeta con más tamaño del "lugar".

Y así sucesivamente.

En este caso concreto, os sorprendería saber cual es la más gorda del "lugar", pues Windows oculta el tamaño real de algunas de sus carpetas (si se realiza la consulta mediante las propiedades de la carpeta en cuestión). Con dirsize esta información queda al descubierto y permite saber exactamente el tamaño de cada carpeta y poder tomar medidas si es necesario.

Por último, es recomendable ubicar a dirsize en una carpeta con path (por ejemplo: c:\windows\ o c:\windows\system32\) para que funcione en cualquier sitio.

Buena cacería de carpetas de gran tamaño.

Cuida el registro de Windows

El registro de Windows es su columna vertebral. Ahí reside toda la configuración tanto de Windows como de la mayoría del software instalado en tu sistema.

El registro de Windows es complejo y delicado, por eso conviene que lo cuides. Más de una vez he comprobado que puede producirse algún problema en él sin motivo aparente y hacer que Windows simplemente no arranque o que no pueda trabajar con él o con algún software.

El registro de Windows XP son 5 archivos ubicados en C:\Windows\System32\Config llamados:

default
SAM
SECURITY
software
system

Y es conveniente que hagas, de vez en cuando, una copia de seguridad de ellos cuando tu sistema funciona correctamente. Como alguno de esos archivos no se puede copiar directamente en una sesión normal porque están siendo utilizados, lo más sencillo es arrancar el ordenador con el CD de Windows XP y cuando aparezca el menú de instalación de Windows elige iniciar la consola de recuperación.

Una vez en la consola, puedes utilizar estos comandos para salvar el registro:

c:
cd \
cd windows
cd system32
cd config
mkdir BACK
copy default .\BACK
copy SAM .\BACK
copy SECURITY .\BACK
copy software .\BACK
copy system .\BACK

Y listo. Reinicia el ordenador y en la carpeta C:\Windows\System32\Config\BACK tendrás los 5 archivos del registro disponibles. Para mayor seguridad y comodidad, comprímelos y guarda esa copia comprimida fuera del disco duro, en otro disco o en un pendrive.

Para restaurar la copia de seguridad en caso de problemas, inicia igual que antes la consola de recuperación e introduce los siguientes comandos en la consola:

c:
cd \
cd windows
cd system32
cd config
cd BACK
copy default ..
copy SAM ..
copy SECURITY ..
copy software ..
copy system ..

Después reinicia el ordenador y mira a ver que tal.

Informe del Sistema 1.0 disponible

La versión 1.0 de infosis (Informe del Sistema) acabo de publicarla hoy y se encuentra disponible en el siguiente enlace:

http://sites.google.com/site/ramiroencinas/soft/infosis.zip

Se trata de un pequeño ejecutable realizado en VBNet que recopila información hardware/software del Windows XP donde se encuentre (creo que también funciona para Windows Vista). Es útil para administradores de sistemas que quieran realizar un informe completo de un ordenador para después tener información adecuada para resolver incidencias.

El aspecto de la utilidad una vez iniciada es la siguiente:

El campo de observaciones está bien para incluir en el informe la password del administrador local del sistema. Si lo dejamos en blanco no pasa nada.

Después de pensar en las observaciones, clicas en Siguiente y empezará a recopilar la información. Cuando termine puedes ver el resultado clicando en el botón Mostrar. El informe es un archivo HTML con el nombre del ordenador, y lo encontrarás en la misma carpeta donde infosis.exe se haya ejecutado.

El comienzo del informe de mi ordenador es el siguiente:

Como puedes ver, el fabricante de mi placa base (que es MSI) sólo se tomó la molestia de indicar el campo Modelo para identificar su producto a Windows, no indicando el número de serie y el fabricante de la placa base. Por contra, otros fabricantes como HP o Fujitsu son totalmente fiables en estos campos.

El informe primero registra el hardware y a continuación el software:

Sistema central

- Número de serie

- Fabricante de la placa base

- Modelo

- Arquitectura

- RAM

- Procesador

Discos duros

- Letra de unidad

- Modelo

- Capacidad

Unidades lógicas

- Letra de unidad

- Sistema de archivos

- Espacio total

- Espacio ocupado

- Espacio libre

- Espacio ocupado/libre (gráfica)

CD/DVD ROM

- Letra de unidad

- Marca y modelo

Adaptadores de red

- Descripción del adaptador de red

Adaptadores de video

- Descripción del adaptador de video

Adaptadores de sonido

- Descripción del adapatador de sonido

Sistema Operativo

- Nombre

- Versión

- Service Pack

- Unidad de arranque

- Partición de inicio

- Directorio de Windows

Config. de red (del adaptador de red que tenga IP)

- Adaptador de red

- MAC

- IP

- Máscara de subred

- Puerta de enlace predeterminada

- Servidores DNS

- DHCP Activado (si o no)

- Servidor DHCP (si DHCP Activado es si)

- Dominio/Grupo de trabajo

Software instalado

- Descripción

- Versión

- Fabricante

Si lo pruebas, te agradeceré que me reportes tu parecer para mejorarlo.

Windows XP más seguro

Si inicias Windows XP con una cuenta que tiene privilegios de administrador local o con la misma cuenta de administrador (cosa corriente), tiene sus ventajas porque puedes hacer lo que quieras sin restricción alguna, y también tiene sus inconvenientes: cualquier cosa maliciosa que venga de fuera puede aprovechar perfectamente estos privilegios y también puede hacer lo que quiera sin restricción alguna.

Estas cosas maliciosas, o las cosas que hacen cosas sin que te enteres, como utilizar los recursos de tu ordenador para el enriquecimiento de otros, o simplemente robarte credenciales bancarias para robar el sudor de tu frente, actualmente han crecido tanto en número como en sofisticación.

No existe software que te protega 100%, y tal y como está la cosa actualmente, cuanto más promíscuo seas en la red, más posibilidades tienes de llevarte un premio.

A la vez, el negocio de la seguridad informática es una carrera de tiempos dentro de un toroide cerrado donde tu ordenador está en medio pagando tributos, primero a uno, luego a otro, luego a otro y así sucesivamente. No estás más seguro por tener más software de seguridad, estás más seguro sabiendo lo que tienes y unas buenas contraseñas.

Para tener un buen nivel de seguridad en Windows XP, sólo necesitas cuatro cosas:

1. Windows XP actualizado todos los días con Windows Update.
2. Antivirus actualizado todos los días.
3. Utilizar normalmente una cuenta de usuario que sólo pertenezca al grupo "Usuarios".
4. Sentido común.

El punto 1 y 2 es una rutina, el 4 depende de tí y ahora hablemos del punto 3.

En el caso de Windows XP, esto se realiza con la Administración de equipos ubicada en las Herramientas Administrativas del Panel de Control, o utilizando el comando compmgmt.msc. Dentro de Administración de equipos, en el apartado de Usuarios locales y grupos aparecen dos carpetas: Usuarios y Grupos.

Dentro de la carpeta Usuarios haz doble click en tu usuario y aparece la ventana con sus opciones, ve a la pestaña Miembro de, agrega el grupo Usuarios y elimina cualquier otro grupo (incluido el grupo de Administradores).

Aparte de esto, no hace falta recordar que tanto nuestro usuario como el usuario Administrador deben tener contraseñas fuertes. Para asignar una contraseña a un usuario basta con clicar en él con el botón derecho y elegir Establecer contraseña...

De esta forma, hagas lo que hagas con tu usuario, éste no podrá escribir o modificar archivos de zonas importantes de Windows y por tanto tampoco ningún código malicioso que puedas "adquirir", sea por Internet, pendrive o disquete de 5 1/4.

Ahora, si necesitas instalar algún software que requiera privilegios elevados, realizar alguna tarea administrativa o cualquier otra cosa que necesite privilegios de administración puedes utilizar el botón derecho del ratón y elegir Ejecutar como dando las credenciales del administrador local, o también puedes utilizar la versión de línea de comando "runas".

Por ejemplo, si necesitas comprobar e instalar actualizaciones de Windows XP con Windows Update en la versión línea de comandos, puedes crear en escritorio el archivo WindowsUpdate.BAT con estas líneas:

@echo off
cd %systemroot%\system32
runas /env /user:administrador wupdmgr.exe

Lo abres, te pide la contraseña del administrador local, se la das y Windows Update empezará a realizar su trabajo, mientras el usuario actual sigue restringido y protegido.

Detecta y elimina malware en Windows XP

El malware puede tomar cualquier forma dentro del sistema operativo, y conociendo al detalle al sistema operativo, es más sencillo detectar al malware para aislarlo y eliminarlo con herramientas sencillas.

El año pasado escribí una guía de 26 páginas acerca de cómo identificar malware en un Windows XP.

En esta guía verás como utilizar varias herramientas de administración de Windows y, entre otros métodos, detalla el funcionamiento de varias herramientas de Sysinternals como Process Explorer y Autoruns para sacarle la información a Windows y poder interpretarla correctamente para detectar malware. Actualmente, esta guía se encuentra en formato PDF en este enlace.

Windows XP más rápido = servicios necesarios

Windows XP, como cualquier otro sistema operativo viene por defecto con una serie de servicios que se inician automaticamente cuando el ordenador arranca. Dependiendo del uso que demos al ordenador utilizaremos algunos y otros no.

En este post, explicaré algunos servicios de Windows XP, comprobaremos si los necesitamos o no, y los que no necesitemos los desactivaremos. El resultado será el ahorro de recursos y el incremento de la rapidez de Windows XP, tanto en arranque como en el uso normal.

Lo primero que haremos es abrir el gestor de servicios y ver lo que hay. Para ello vamos a inicio, ejecutar y ponemos: services.msc, pulsamos ENTER y aparecerán los servicios. Para verlos mejor, maximizamos la ventana y pinchamos abajo en la pestaña "Estándar".

La columna interesante es Tipo de inicio. Si ordenamos los servicios por Tipo de inicio los veremos mejor. Hay tres tipos de inicio:

• Automático: siempre inicia el servicio en el arranque de Windows.
  
  
• Manual: se inicia a demanda. Normalmente lo inicia otro servicio ya iniciado, como por ejemplo alguno que ya se inicie de forma automática.
  
  
• Deshabilitado: nunca se inicia.
  

Podemos cambiar el tipo de inicio de un servicio dado, además de iniciarlo o detenerlo haciendo doble click izquierdo en él e indicando lo que queremos.

A continuación voy a explicar algunos de los servicios de Windows XP SP3 Profesional que podemos tocar sin problemas, y así averiguamos si los necesitamos o no:

Acceso a dispositivo de interfaz humana: Si tienes un teclado con botones multimedia tipo volúmen, enviar correo, hacer la colada, etc., déjalo en automático. Si tienes un teclado convencional y no utilizas este tipo de controles multimedia, lo puedes detener y deshabilitar.

Actualizaciones automáticas: es recomendable que esté en automático sino quieres que tu Windows se convierta en un colador.

Administrador de IIS: si tienes un servidor Web, o ftp, o alguna aplicación que utilice IIS (Internet Information Server) déjalo en automático. Si utilizas otro servidor web como Apache o Tomcat, lo puedes desactivar. Si lo anterior te suena a chino, desactívalo.

Administrador de sesión de Ayuda de escritorio remoto: esto sirve para que un amigo tuyo se conecte a tu ordenador y te ayude con algún problema. Desactívalo sino necesitas ayuda on-line.

Adquisición de imágenes de Windows (WIA): si tienes un escáner o cámara conectado al ordenador, déjalo en automático, sino, lo puedes desactivar.

Agente de Protección de acceso a redes: el servicio NAP, una capa nueva extra de seguridad que Microsoft sacó ya con Windows Vista y Windows 2008. Tiene sentido en una red local de ordenadores donde queremos más seguridad. En entornos corporativos donde la seguridad es un factor crítico entre ordenadores y servidores no estaría mal. En el caso doméstico no le veo utilidad y puede desactivarse.

Ayuda y soporte técnico: por la utilidad que he visto en este servicio, es mejor desactivarlo.

Configuración inalámbrica rápida: si tu ordenador tiene WIFI, déjalo activado, sino, desactívalo.

DDE de red: otro servicio para dar seguridad al transporte de datos en determinadas aplicaciones (nunca he visto una aplicación que utilice este servicio). No es necesario para compartir carpetas en una red local, por tanto se puede desactivar.

DSDM de DDE de red: más de lo mismo que el servicio anterior. 

Enrutamiento y acceso remoto: desactívalo. Un router es un router, y un Windows es un Windows.

Escritorio remoto compartido de NetMeeting: esto es una cosa parecida a la asistencia remota, pero utilizando NetMeeting. Sino te suena, desactívalo.

Instantáneas de volumen: si utilizas el sistema de copia de seguridad propio de Windows, puede ser útil, sino, desactívalo.

Machine Debug Manager: si te dedicas a analizar volcados de memoria cuando algo revienta, es hasta necesario. Si lo anterior te suena a chino, desactívalo.

Mensajero: esto tiene sentido en la oficina cuando el administrador de sistemas necesita alertar de algo a los usuarios. A nivel doméstico no tiene sentido.

MS Software Shadow Copy Provider: esto es lo mismo que el servicio de Instantáneas de volumen.

Programador de tareas: si necesitas hacer algo de forma automática de vez en cuando, tiene sentido, sino, desactívalo.

Publicación en World Wide Web: igual que el Administrador de IIS.

Servicio de alerta: igual que el servicio Mensajero, pero en vez de que la alerta la realice el administrador de sistemas la realiza alguna aplicación en respuesta a algún evento. En entorno doméstico no tiene sentido.

Servicio de Index Server: dice que mejora la velocidad de las búsquedas de archivos en Windows, pero yo no he visto ninguna mejora significativa. Lo puedes desactivar perfectamente.

Servicio de restauración de sistema: yo lo he probado en varios contextos, y es mejor tener una copia de seguridad de nuestros archivos que no pueden perderse fuera del ordenador, por ejemplo en un disco duro externo. Además, es un nicho de virus. Mejor desactivado.

Servicio de uso compartido de red del Reproductor de Windows Media: si utilizas Windows Media Player junto con aparatos reproductores externos, puede servir para que compartan datos entre si (esto es como el itunes y el ipod pero en plan Windows), sino, desactívalo.

Servicio del número de serie de medio portátil: íntimamente ligado al servicio anterior.

Servicios de Terminal Server: si quieres conectar con el escritorio de otro ordenador en red, bien, sino, desactívalo.

Servicios IPSEC: este servicio de cifrado de red tiene sentido en comunicaciones cifradas entre servidores de archivos confidenciales. En entornos domésticos no tiene sentido.

Sistema de alimentación ininterrumpida: si tienes un SAI conectado al ordenador y quieres mirar su estado con el mismo Windows, bien. Si tu SAI ya dispone de software para esto, o no tienes un SAI, desactívalo.

Tarjeta inteligente: esto se utiliza en caso de que algún programa necesite leer tarjetas de identificación, para temas de seguridad. Sino tienes alguna tarjeta de estas, puedes desactivarlo.

Telnet: si te gusta la línea de comandos con conexión remota y la inseguridad, pues vale, sino desactívalo.

Temas: Windows más bonito. Si lo desactivas, se queda con los gráficos en plan Windows 95, y ten por seguro que Windows irá más rápido.

Como dije, el resto de servicios suelen ser más necesarios y están más vinculados con el funcionamiento de Windows, aunque puedes probar a desactivar alguno a ver que pasa.

Si dejamos activos sólo los servicios que utilizamos y deshabilitamos los que no utilizamos, tendremos una mejora significativa en rapidez, que si por contra dejamos los servicios configurados por defecto.