Professional Documents
Culture Documents
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Te recomiendo que uses máquinas virtuales para hacer estas pruebas.
Puedes encontrar más información en google sobre VMware y
VirtualPC. De todos modos si sigues los pasos exactamente no hay
problema si desarrollas lo descrito en tu máquina.
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
F. R. G. L.
felipegl106@hotmail.com
Tarapoto-Perú
2005
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
El principio de la sabiduría es el
temor de Jehová.
Proverbios de Salomón
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Isaac Newton
Isaac Asimov
La sabiduría es hija de la
experiencia.
Leonardo Da Vinci
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Dedicatoria:
Agradezco en primer lugar a Dios, por la vida y por todas las
bendiciones que me ha dado. Todo lo que somos y lo que sabemos es
por El, porque El lo permite.
Gracias a Jesús por haber venido a este mundo a dar su vida por
nosotros. Preparémonos pues para su Segunda Venida.
Agradezco también a mi madre por su apoyo total, Geni Linares
Bensimón, quien desde que fui pequeño me ha inculcado los principios
y valores de la Palabra de Dios con infinita paciencia, ternura y amor.
A mis hermanos Raquel, Jairo y Omar, por su apoyo incondicional en
todo momento.
Agradezco también a todos mis amigos de la red, que aunque tal vez
nunca los haya conocido a todos y que tal vez nunca los llegue a
conocer en persona, me han ayudado-muchas veces sin saberlo-
compartiendo su conocimiento conmigo y con los demás.
EL REGISTRO DE WINDOWS
El S.O. debe tener uno o varios archivos de configuración para adaptarlo a las
particularidades del hardware, del software y del usuario de un equipo. Estos
archivos los lee el S.O. en el arranque del sistema.
Con Windows 3.1 se utilizaban para configurar nuestro sistema, además de los
archivos anteriores, otros de extensión INI (SYSTEM.INI, WIN.INI, etc...). Incluso
algunos programas cuando se instalaban creaban su propio archivo de
configuración INI.
%SYSTEMROOT%\System32\Config se encuentran:
DEFAULT, SAM, SECURITY, SOFTWARE Y SYSTEM.
OJO: No debes confundir el Registro con el Editor del Registro, como ya lo dije
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
anteriormente, el Registro es en sí un conjunto de archivos del sistema que no se
pueden visualizar con cualquier programa, y el Editor del Registro(regedit.exe) es
un programa especial que Microsoft ha hecho para Windows para poder
manipular el Registro de una manera más fácil. Hay varios Editores del Registro
por allí sueltos, como lo son el de Symantec, y otros más.
HKEY_CLASSES_ROOT
HKEY_CURRENT_USER
HKEY_LOCAL_MACHINE
HKEY_USERS
HKEY_CURRENT_CONFIG
Ejercicio :
Modificar la Página de Inicio del Internet Explorer al clickear sobre un archivo.
Edición\Nuevo para crear una nueva clave o valor. Los valores más usuales son de
tipo DWORD y CADENA(Alfanumérico).
Para cambiar el Dato de un Valor, pulsar con el botón derecho del ratón sobre ese
valor y eligiendo la opción Modificar.
Lo que ocurre es que para mayor comodidad la primera de ellas deriva en otras
dos llamadas: HKEY_CURRENT_CONFIG y HKEY_CLASSES_ROOT.
HKEY_CLASSES_ROOT (HKCR)
En esta clave se encuentran los archivos registrados, sus extensiones y los
programas asociados. También se encuentran los identificadores de clases que son
números que identifican determinados objetos.
Osea que aquí en el Registro están todas las asociaciones a los programas que usan
determinadas extensiones.
Práctica:
Lo que esta enmarcado en rojo dentro de la elipse es importante pues nos llevará a
la asociación extendida.
dirección del archivo que contiene el icono que usan los archivos de texto, en
este caso el archivo Shell32.dll. El número al costado indica el número de icono,
puedes probar a modificar ese número para modificar el icono también!.
La Sub clave Shell tiene una subclave(subclave Open) para mostrar el menú que
sale cuando se hace clic al botón derecho del ratón (Menú contextual) sobre un
archivo, en su valor predeterminado se pone el texto que se desea que aparezca en
el menú para abrir la asociación deseada. Otra subclave en la que se determina
que programa abrirá a la extensión dada (la subclave command) .
Ok, ahora veamos que programa tiene asociado la extensión .gif(de las imágenes
animadas). Vamos al Editor del Registro y abre la clave
HKEY_CLASSES_ROOT\, expándela y busca la subclave .gif:
1. Ejecutar el regedit
2. Abrir la clave HKEY_CLASSES_ROOT
3. Abrir la subclave * (ya dijimos que * representa TODOS los archivos).
4. Dar clic derecho sobre la subclave * y seleccionar Nuevo, Clave; y escribir
el nombre de “shell”, sin las comillas y presionamos Enter (La Sub clave
Shell se usa para que aparezca el menú que sale cuando se hace clic al
botón derecho del ratón (Menú contextual) sobre un archivo.)
5. Una vez creada esta subclave, damos clic derecho sobre esta misma
subclave y seleccionamos Nuevo, Clave; y escribimos “Open”, y
presionamos Enter.
6. Una vez creada esta subclave vamos al panel derecho y en el valor llamado
Predeterminado damos clic derecho y seleccionamos modificar.
7. Nos aparece una ventanita de Editar cadena y escribimos en el espacio de
Información del Valor: “AvRiR k0n el BloK de NotAZ”, y presionamos
Enter.
8. Ahora hacemos clic derecho nuevamente sobre la subclave Open y
seleccionamos Nuevo, Clave, y escribir “command”.
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
9. Una vez creada esta subclave vamos al panel derecho y en el valor llamado
Predeterminado damos clic derecho y seleccionamos modificar.
10. Nos aparece una ventanita de Editar cadena y escribimos en el espacio de
Información del Valor “notepad.exe %1”, y presionamos Enter.
11. Cerrar el Editor de registro.
12. Abrir el explorador de Windows y ubicar una carpeta que tenga archivos
con diferentes extensiones(.txt, .doc, .bat, .xls, .bin, etc) y dar a cualquier
archivo clic derecho con el mouse y se verá que aparece un menú dentro del
cual está el texto “AvRiR k0n el BloK de NotAZ”, al seleccionar eso,
cualquier archivo que escojamos se abrirá con el bloc de notas.
¡!Advertencia!!: Este truco es peligroso, hacerlo con sumo cuidado. Seguir los
pasos exactamente.
De paso veremos como restaurar el sistema, ya que este virus después que se lo
elimina deja el sistema casi “inutilizable” por no permitir la ejecución de archivos
.exe, .com, .bat, .scr, .cmd, .pif . Buaaaaaajajajajajajaja!!!
Ahora, tenemos que volver la asociación de los programas .exe a su estado original,
para eso, en el valor en vez de c:\windows\command.com que escribimos, escribir:
“%1” %* (cuidado con los espacios!!, tiene que haber un espacio).
Te habrás fijado y preguntado qué demonios tienen que ver estos archivos, con el
registro, pues prueba a hacerles doble clic y verás que son importados
directamente al registro.
HKEY_CURRENT_USER (HKCU)
En esta clave se encuentra la configuración del usuario y de los programas que está
actualmente usando en el ordenador.
AppEvents Contiene los las etiquetas o sonidos de los eventos que suceden con
determinados programas, tales como el sonido que se debe escuchar cuando
recibes un correo nuevo en el Messenger, o el sonido que debe escucharse cuando
se vacía la Papelera de reciclaje
Console Configuración de la consola del Intérprete de comandos.
Control Panel Configuración del Panel de control. Accessibility( 1,0), Appearance,
Colors, Desktop, WindowsMetrics, Keyboard, PowerCfg, Mouse, Desktop.
Enviroment Algunas variables de entorno.
Los cambios que hagamos en esta clave afectará solo al usuario actual.
Aquí están los sonidos asociados, escritorio, papel tapiz, teclado, las aplicaciones
que se pueden usar, la red, etc.
Ejemplos:
Verás que en muchos casos solo se modifican los valores “’0” para deshabilitar y
“1” para habilitar.
Alucina que acá puedes poner tus troyanos y tus keyloggers, solamente échale
imaginación!
10. Borrar el registro de los programas que has ejecutado desde el Inicio\Ejecutar.
Jejeje
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU, al
costado derechos se encuentra algo así:
Lo que está enmarcado, son los programas que he ejecutado yendo al menú Inicio/
Ejecutar.
¿Quieres borrar rastros de que has ingresado al registro a curiosear? Pues borra
los valores a, b, c, d, ..., etc, los que no desees que se muestren más.
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Debes reiniciar el equipo.
11. Borrar el registro de los archivos que has buscado con la opción Buscar
archivos. Jejeje
Digamos que vas a la casa de tu amiga y en su máquina sospechas que tiene algún
archivo, programa, foto, video, etc, que te puede interesar y haces una búsqueda
con el buscador de windows, algo así como esto:
Pero, espera, nuestro caso no será ése. Cierra todas la ventanitas de búsqueda
primero. Ahora vamos a borrar nuestras pistas. Abre el registro de Windows y ve
a la clave:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Doc Find Spec
MRU:
en el panel derecho, está el registro de tus búsquedas, borra las que consideres
convenientes y listo.
12. Mostrar la extensión completa de los archivos(Muy útil para evitar ejecutar
virus)
Cuántas veces no ha sucedido que muchas veces hemos encontrado archivos tales
como “pamela.jpg”, “diapositiva.pps” en nuestros diskettes o en nuestros correos,
sin saber quién nos ha pasado esos archivos, y bueno creyendo que eran archivo de
imagen(la extensión “jpeg” es para archivos de imágenes) o alguna diapositiva le
hemos dado doble clic, bueno después vinieron los estragos pues en realidad eran
virus. Bueno, te preguntarás entonces ¿cómo nos podemos dar cuenta si un archivo
jpeg, doc, jpg, etc es realmente un archivo del tipo que dicen ser, y no un virus?.
Pues, la respuesta es: La gran mayoria de virus, tienen extensiones .exe, .com, .vbs,
.bat, etc, pero cuando te lo envían o se copian(de una máquina infectada a un
disquete tuyo) no aparecen con las extensiones completas, sino que se ponen
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
nombres como: “pamela.jpeg.exe”, “diapositiva.pps.vbs”. Entonces el problema
está en que Windows generalmente siempre oculta la primera extensión para los
archivos, haciendo pues que: “pamela.jpeg.exe” se muestre como “pamela.jpeg”, y
que “diapositiva.pps.vbs” se muestre como “diapositiva.pps”, e incluso que
“documento.exe” se muestre como “documento”. Ya te habrás cuenta del terrible
daño que esto puede ocasionar, especialmente sino tenemos ni idea de todo esto.
Entonces, pues he ahí la razón por las cuales muchas veces hemos ejecutado virus
creyendo que eran documentos, imágenes, etc.
Bueno, la propiedad de Windows para hacer que se muestren las extensión de los
archivos está en el registro, más específicamente en la clave:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explore
r\Advanced, en el valor de tipo cadena llamado “HideFileExt”.
Mira esto, y fíjate bien, cuando el valor de “HideFileExt” tiene el valor de “1”, los
archivos se muestran así(sin las extensiones completas):
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
¡!!TE DAS CUENTA QUE HAY UN VIRUS QUE PARECIA UNA CARPETA!!!.
Bueno, pues lo único que nos queda es tener siempre el valor de “HideFileExt” con
el valor de “0”, para conocer la verdadera extensión de los archivos y evitar
ejecutar virus . O bueno pon ese valor a “1” si es que eres tú el que quiere ocultar
tus verdaderos virus, troyanos, keyloggers, etc. Jeje
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnc
e
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunO
nce
Y poner valores con nombres que desees y que indiquen la ubicación del programa
que se ejecutará, por ejemplo:
Así que si quieres ver que programas se inician con Windows, ve a esas claves del
registro y borra las que te no te gusten o las que te parecen sospechosas y listo.
Más rápido no puede ser.
Otra forma de ver los programas que se inician con windows es con el
msconfig.exe(programa que lee archivos de configuración[config.sys, autoexec.bat,
system.ini, win.ini, y también lee las claves de registro(las pone en la ficha Inicio
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
para ser más específico) mencionadas recién] y los muestra de una manera
“agradable”). Si modificas algo con el msconfig.exe, esa modificación afectará
directamente a los archivos mencionados y las claves de registro.
HKEY_LOCAL_MACHINE (HKLM)
Esta clave contiene la configuración general del ordenador. De ésta proceden la
HKEY_CURRENT_CONFIG y la HKEY_CLASSES_ROOT.
!!Los cambios que hagamos en esta clave, afectarán a todos los usuarios!!
Notas :
Ejemplos:
1.- Para que los usuarios tengan que pulsar Ctrl+Alt+Supr para entrar en el
Sistema (Win 2000-XP)
(Se utiliza cuando hay varios usuarios configurados)
HKLM\Software\Microsoft\Windows NT\Current Version\Winnlogon En el Panel
derecho crear una nueva DWORD llamada DisableCAD con valor 0
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
HKEY_CURRENT_CONFIG
En esta clave está la configuración actual del sistema.
HKEY_USERS
Esta clave contiene la configuración de todos los usuarios del ordenador. Según
van conectándose usuarios al ordenador, aparecen claves del tipo S-1-5-21-76556
…….. aquí están las claves de los usuarios conectados, de todos ellos la clave del
usuario actual se repite en HKEY_CURRENT_USER.
Aplicación Malévola: Recuerdo que, hace unos 4 años, cuando aún estaba
iniciándome en este fascinante mundo, fui a una cabina de internet --que está en el
Puerto(Ñaña-Lima-Perú-América-Planeta Tierra-Sistema Solar-Vía Láctea), no
diré el nombre de la cabina para proteger al inocente-- y me di con una “terrible”
sorpresa, el “administrador ” de esas cabinas había puesto varias restricciones a
los equipos, por nombrar a unas pocas, no podía ver la unidad a, no se podía
ejecutar el regedit.exe, no se podía usar el MS-DOS. Como es de suponer, a muy
pocos les gusta vivir bajo las reglas y/o condiciones de otros.
Te encontrarás en más de una ocasión con esta situación, entonces, lo que debes
hacer para poder volver a poder acceder a tu registro es lo siguiente:
Bueno, no fue tarea difícil, ya que con el acceso al registro, el 90% del trabajo ya
estaba hecho, pues ya podría retirar las restricciones que ese admin había puesto a
sus equipos.
Debes tener en cuenta que aprenderte de memoria las llaves principales del
registro te sacarán de muchos apuros.
¿Te das cuenta de que con solo un archivo . reg podemos modificar el registro a
nuestro antojo, sin necesidad del regedit.exe?
Al costado derecho debe haber un valor del tipo dword llamada NoDrives, cuyo
valor será unidad A: 1, B: 2, C: 4, D: 8, E: 16, F: 32, G: 64, H: 128, I: 256, J: 512,
K: 1024, L: 2048, M: 4096, N: 8192, O: 16384, P: 32768, Q: 65536, R: 131072, S:
262144, T: 524288, U: 1048576, V: 2097152, W: 4194304, X: 8388608, Y: 16777216,
Z: 33554432, ALL: 67108863.
Para ocultar todas las unidades poner el valor a "67108863" (03ffffff hex)..
Si no quieres que haya ninguna unidad oculta borrar el valor NoDrives.
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Éstos archivos se ejecutan pulsando sobre ellos con el botón derecho y luego
Instalar.
[Version]
Signature = "$CHICAGO$"
[DefaultInstall]
AddReg=Añadir.al.Registro
DelReg=Borrar.del.Registro
[Añadir.al.Registro]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\Explorer",
NoRun,0x00010001,"0"
; [Borrar.del.Registro]
;
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\Explorer",NoRun
Éste archivo pone o quita la opción Ejecutar en el menú de inicio. (Cerrar y Abrir
sesión para ver cambios)
http:\\msdn.microsoft.com\library\default.asp?url=\library\en-
us\install\hh\install\inf-format_2v02.asp
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Si es W98, podemos poner como TipodeValor:
Para instalar directamente los archivos .inf desde un archivo por lotes.bat,
podemos poner dentro del lotes.bat:
en XP
C:\WINDOWS\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132
C:\archivo.inf
en W98?
Run("C:\WINDOWS\rundll.exe", "setupx.dll,InstallHinfSection DefaultInstall 132
C:\archivo.inf")
---------------
[Probar también:]
ShellExecute("c:\archivo.inf","","",@normal,"Install")
Y
C:\> rundll32 syssetup,SetupInfObjectInstallAction DefaultInstall 128 C:\archivo.inf
Esto es lo máximo, pues con esto ya se puede decir que casi tienes todo el dominio
del registro de windows desde casi todos los ángulos. La combinación de estas
técnicas son el poder absoluto, y solamente tu imaginación pondrá los límites.
Dim klez
Set klez = CreateObject("WScript.Shell")
klez.RegWrite
"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"
1, "REG_DWORD"
klez.RegWrite
"HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"
1, "REG_DWORD"
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Dim klez
Set klez = CreateObject("WScript.Shell")
klez.RegDelete
"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"
klez.RegDelete
"HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"
Los elementos del Registro de Windows se pueden modificar mediante las ventanas
de configuración de Windows tales como por ejemplo, el tiempo en que aparecerá
el protector de pantalla:
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Más abajo, casi al final de la imagen de arriba, se ve el Valor del tipo cadena
llamado Wallpaper, que contiene la ruta hacia el archivo de imagen de fondo de
pantalla.
Ve a la clave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
• Subclave Explorer:
• Subclave System:
• Subclave Network:
• Subclave WinOldApp:
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Policies
y:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
Explorer
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Expl
orer
Ejemplo:
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
NoControlPanel [hex] = Permitir o no Panel de control
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions
y:
HKEY_USERS\.Default\Software\Policies\Microsoft\Internet Explorer\Restrictions
En caso de que haya más usuarios, cada uno tendrá su clave con su configuración
particular.
HKEY_USERS\.Default\Software\Policies\Microsoft\Conferencing
En caso de que haya más usuarios, cada uno tendrá su clave con su configuración
particular
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Webcheck
En caso de que haya más usuarios, cada uno tendrá su clave con su configuración
particular
SUPER APLICACIONES
3.Oopps!. Una de las características del virus, es que deshabilita la edición del
Registro, pues como ya sabemos, ha puesto la restricción “DisableRegistryTools”,
con el valor “1”. En este caso, dirás, bueno hago un programa en VBScript y
pongo ese valor a “0”, para poder tener acceso al registro de nuevo. El
código(copiar en un bloc de notas y grabar con “nombre.vbs”) sería el siguiente:
Pero te recomiendo que no lo hagas, porque el virus cuando detecte que el Editor de
Registro(regedit.exe) está abierto, lo cerrará y lo borrará!, así que mejor no
habilitemos el Editor del Registro.
Presiona Ctrl + Alt + Sup, y verás el Administrador de procesos:
Lo malo es que no te muestra los procesos ocultos y de sistema. Este virus al ser un
proceso oculto se ha autoatribuido características de proceso de sistema, así que no
vas a poder visualizar el proceso del virus con el Administrador de Tareas de
Windows.
Hay un programa llamado Process Explorer, es muy bueno para mostrar procesos y
DLL’s en uso en tiempo real. Búscalo en google y pruébalo.
Al ejecutarlo te muestra algo así:
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Pero, cuando la máquina está infectada con este virus, mira como se muestra la
asociación de los archivos, en este caso de los .com:
Y así estarán también las asociaciones de los archivos .exe, .bat, .scr, .pif.
Así que si después de haber matado los procesos del virus ejecutas por ejemplo el
“command.com”, volverás a ejecutar el virus y así entrarás en un circulo vicioso
hasta que el virus empiece a borrar tus archivos y a hacer estragos en tu máquina.
Por eso repito: Una vez que hayas matado los procesos del virus, ten mucho cuidado,
!NO ejecutes ningún programa todavía!.
Así que antes de ejecutar cualquier .exe, .com, .scr, .pif, .bat después de haber
matado los procesos del virus, DEBEMOS RESTABLECER LAS ASOCIACIONES
DE LOS ARCHIVOS CON SUS EXTENSIONES VERDADERAS, para esto he
creado un programa .vbs:
Dim virus
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Set virus=CreateObject("WScript.Shell")
virus.RegWrite "HKEY_CLASSES_ROOT\exefile\shell\open\command\",klez
virus.RegWrite "HKEY_CLASSES_ROOT\comfile\shell\open\command\",klez
virus.RegWrite "HKEY_CLASSES_ROOT\batfile\shell\open\command\",klez
virus.RegWrite "HKEY_CLASSES_ROOT\piffile\shell\open\command\",klez
virus.RegWrite "HKEY_CLASSES_ROOT\scrfile\shell\open\command\",klez1
virus.RegWrite
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",0,"REG_DWORD"
virus.RegWrite
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr",0,"REG_DWORD"
Este programa restablece las asociaciones de los archivos .exe, .com, .bat, .pif, .scr, a
su estado original, osea antes de que nuestra máquina se infecte con el virus. Luego
de ejecutar este programa, ya puedes ejecutar cualquier programa sin excepción.
Pero no ha terminado aún la eliminación total del virus!!, así que no te alegres
todavía, lo que hasta ahora hemos hecho es matar los procesos del virus, y
restablecer las asociaciones de las extensiones de los archivos.
Los programas maliciosos, ya sean virus, troyanos, keyloggers, bombas lógicas, etc,
tienen que asegurar Iniciarse cuando Windows se inicie, para esto han puesto sus
claves en cualquiera de las claves de Registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnc
e
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunO
nce.
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Y bueno este virus también ha hecho modificaciones en el autoexec.bat, system.ini,
win.ini.
Así que abrimos el msconfig.exe(Inicio/Ejecutar/msconfig.exe) y marcamos la ficha
autoexec.bat (El autoexec.bat es una archivo antiguo del DOS, se usaba para
ejecutar programas al inicio del DOS. Windows todavía lo usa, pero con la
característica agregada de que si se quiere ejecutar un programa al inicio de
windows(32 bits) se debe anteponer el sufijo “@win” seguido de la ubicación del
programa que queremos ejecutar) y vemos algo parecido a esto:
Lo que está enmarcado en rojo es muy raro, muy raro. El autoexec.bat, nunca
debería ejecutar archivos para windows y menos aún con esas extensiones .pif y .scr,
y para colmo con nombres raros como el que ves, así que de nuevo deducimos que
esa es una ruta para ejecutar el virus. Así que puedes desmarcar esa línea rara sin
temor a nada.(las 3 primeras líneas que ves son para indicar el modelo de video, el
código del idioma, y el controlador de teclado respectivamente). También puedes
eliminar esa línea rara en el verdadero autoexec.bat, busca el archivo autoexec.bat y
edítalo(ábrelo con el bloc de notas) y borra la líneas esa y guarda el archivo. Antes
anota el nombre de ese archivo y su ubicación, para después borrarlo. Con borrar
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
las líneas en el autoexec.bat, sólo estamos evitando que se ejecuten al inicio de
windows.
Ahora volvamos al msconfig y vayamos a la ficha System.ini y expandamos el check
que dice [boot], te aparecerá algo así:
Solamente borra lo que está enmarcado, y guarda el archivo y listo. Listo, una ruta
menos de Ejecución automática del virus.
Ahora volvamos nuevamente al msconfig y selecciona la ficha Win.ini y expande el
check llamado [windows] y aparecerá algo así:
En Load y Run, también se ponen los programas que se quiere que se ejecuten al
inicio de windows, por lo general también están vacíos, y además vemos muy raro
ese nombre, lo anotamos también. Buscamos el archivo Win.ini, y edítalo, y se
muestra algo así:
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Borra sólo lo que está enmarcado, guarda el archivo y listo.
La ficha Inicio, como ya lo mencioné antes, contiene los archivos que se ejecutan al
inicio que están especificados en el Registro de windows, en claves determinadas.
Veamos la ficha Inicio del msconfig:
Anotamos los nombre raros, esos marcados en rojo, con extensiones pif, scr, bat, exe,
com, pues no son archivos de windows, son el virus, con distintos nombres.
Pues vamos a la clave:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run y
encontramos esto:
Y encontramos lo mismo que en la ficha Inicio del msconfig, y bueno, borramos esos
valores y listo. También debemos de haber anotado el nombre de esos archivos.
Luego lo único que nos queda es buscar esos archivos cuyos nombres anotamos y los
borramos y listo.
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Ahora sólo falta una cosa, el virus, probablemente ha dejado otros valores en el
registro, y de hecho que lo ha hecho. Así que abramos nuevamente el Editor del
Registro, y busca nombres relacionados tales como gedzac, darby, bardiel, y sin más
ni más borralos.
Listo!!!, si has hecho todo bien, ya estamos sin virus, ni nada de eso, como si nada
hubiera pasado. Felicitaciones!!!. Is your own hack!!! Follow this way and you’ll
become a hacker!!!. Learn whatever you can!! Never stop, if you have arrived here,
yo go by the correct way.!!!
Hacking=Knowledge, Knowledge=Freedom, Freedom is POWER!!.
Si recuerdas, en esa clave están las ubicaciones de los programas que queremos que
se ejecuten al inicio de Windows.
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Ahora, agreguemos un valor, para ejecutar el command.com al inicio de windows,
agrega al final del archivo lo siguiente:
Ejemplo:
Fíjate bien en los procesos enmarcados en amarillo, son raros, además Windows
no tiene ningún programa que tenga esos nombres, fíjate también que incluso
intenta despistarnos con nombres como CLIPGROUPSUPD.PIF, , como ya lo dije
mira también esas extensiones.
Bueno los números al costado de estos procesos son llamados PID’s (Process
IDentifier’s)(Son números que el Sistema Operativo asigna a cada proceso para
identificarlos, así cuando quiere usar ese proceso, solamente puede usar ese
número(PID) para referirse a él.
Así que anota cada PID de cada proceso raro(enmarcado en amarillo en nuestro
caso), solamente de los raros y desconocidos, no lo olvides, en mi caso yo anoto: 1832,
1296, 160, 368, 728 y 1724.
Ahora en el Intérprete de comandos, escribimos esto:
taskkill /f /pid numerodeprocesoquequeremosmatar
Así:
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
La opción /f es para forzar el cierre de esos procesos, ya que muchas veces algunos
procesos no se dejan matar tan fácilmente, por eso la opción /f, no le dará espacio a
negarse. Jajajaja
Y así de manera rápida con cada proceso cuyo PID anotaste. Luego que has matado
todos estos procesos (que eran del virus), debemos asegurarnos de que hemos
matado a todos esos indeseables, así que escribimos de nuevo en el intérprete:
tasklist
Mira que ya no hay procesos raros ahora, pero si en tu máquina aparecen todavía,
anota sus PID’s y vuelve a eliminarlos con el taskkill.
Bueno, ahora que hemos matado los procesos del virus. Tengamos cuidado, no
ejecutes todavía ningún programa!!!!. Ya sabes que este virus ha modificado las
asociaciones de las extensiones .exe, .com, .bat, .pif, .scr, .cmd, con los programas del
virus. Así que debemos restablecer esas asociaciones, volvemos a usar el programa
en VBScript:
Dim virus
Set virus=CreateObject("WScript.Shell")
virus.RegWrite "HKEY_CLASSES_ROOT\exefile\shell\open\command\",klez
virus.RegWrite "HKEY_CLASSES_ROOT\comfile\shell\open\command\",klez
virus.RegWrite "HKEY_CLASSES_ROOT\batfile\shell\open\command\",klez
virus.RegWrite "HKEY_CLASSES_ROOT\piffile\shell\open\command\",klez
virus.RegWrite "HKEY_CLASSES_ROOT\cmdfile\shell\open\command\",klez
virus.RegWrite "HKEY_CLASSES_ROOT\scrfile\shell\open\command\",klez1
virus.RegWrite
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",0,"REG_DWORD"
virus.RegWrite
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr",0,"REG_DWORD"
Ya puedes ver que este virus ha intentado asegurar su estadía en tu máquina, anota
los nombre de estos archivos, su ubicación y las claves del Registro en las que aloja
las llamadas a estos programas.
Abre el Editor del registro y ve a la clave:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Borra estas dos claves que son las que llaman al virus al inicio de Windows, y busca
los nombre de esos archivos en la ubicación mostrada, por ejemplo, en mi caso: en
C:\WINDOWS\system32\CLIPGROUPSUPD.PIF, y borra ese archivo.
Es más que seguro que no vas a encontrar ese archivo, así nomás pues se ha puesto
atributos de sistema y oculto. Así que abre de nuevo el Intérprete y escribe lo
siguiente:
cd \windows\system32
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Date cuenta que los mismos archivos se muestran como archivos de sistema y ocultos
a las vez, esto hace un poco difícil la tarea de eliminarlos, así que vamos a quitarles
esos atributos. Escribe ahora en el Intérprete:
attrib -h -s *.*
Al hacer esto se quita los atributos de ocultos(-h) y de sistema (-s) a todos los
archivos(*.*). Después de hacer esto, busca cada archivo, para buscar archivos en el
Intérprete escribir:
dir regview*.com
Lo que ha hecho este comando es mostrar todas las palabras que empiecen por
“regvie” y el asterisco indica que después de “regvie” no importa que diga, sólo
mostrará los archivos cuyos nombres empiecen por “regvie”.
Luego, para eliminar los 2 archivos virus que nos muestra, escribimos:
del nombredearchivo
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
El último nombre que estaba en la ficha Inicio del Msconfig, estaba en la siguiente
ubicación:
Entonces lo único que nosotros debemos hacer es dar clic derecho en este valor de
cadena llamado “shell” y escoger modificar, y solamente borrar lo siguiente:
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Ten cuenta, que muchas de estas técnicas, pueden ser aplicadas para la eliminación
de otros virus. Ya tienes las bases suficientes, que por cierto son poderosas. Ahora
sólo tu imaginación pondrá los límites.