Manual de seguridad en Internet II
Escrito por Sphynx

Publicado:14/06/2001
  Actualizado:05/11/2001
 

ya estamos a 05 de noviembre de 2001: ¿alguien ha tenido problemas con el temido sulfnbk.exe?
sí: he tenido un problema: lo he borrado: no pasa nada, descárgalo aquí


NOTA: Los menús y los comandos windows, así como otros textos resaltables tales como nombres de ventana se indican en color rojo para mejor visualización del usuario

1.- A modo de introducción

Este apartado, que no es de obligada lectura pero si muy interesante para comprender el resto del tutorial, me resulta imprescindible para aclarar algunos conceptos que quizá no hayan quedado demasiado claros en las ayudas que se prestan en el canal dada la tremenda demanda y -en la mayoría de los casos- desesperación del usuario que le lleva a pedir uno solución inmediata.

En mis 3 últimos años como ISA (Internet Security Advisor) he visto de todo pero lo que no he encontrado ha sido una solución INMEDIATA a un problema referente a virus o troyanos o programas spyware, o aún más complejos como por ejemplo el Subseven. Nunca. ¿A qué es esto debido? Seguramente a esa desesperación a que hacía mención y al nerviosismo que produce tener uno de estos programas "habitando" en el ordenador del usuario. Preguntas tales como: "¿para conseguir nuevos drivers de mi cd? es que tengo un problema". Y vaya si tenía un problema, no era el cd, era el Subseven... Con este pequeño ejemplo quiero lanzar un mensaje de atención a todos los que debemos estar informados sobre este tema puesto que muchas veces el usuario en su debida ignorancia, ni culpable ni punible, no sabe que ha podido hacer y no ha guardado unas mínimas reglas de profiláxis informática. Es un problema de educación: ¿de que vale inflar a un usuario de firewalls, ad-awares, y antivirus si el problema está dentro y dando guerra?. Me ahorraré la respuesta por ser de todos conocida.

Por todo lo dicho anteriormente y sin ánimo de extenderme más y pasar a la acción, sería de gran utilidad que este tutorial lo leyesen tanto los infectados como cualquier interesado en el tema. Eso sí. Una lógica cuestón de ética me impide dar cualquier tipo de direcciones para conseguir demos de estos programas o ayudar a inocularlos en otros equipos, pues flaco favor estaríamos haciendo. Así que si el lector es un lammer o un wannabe en busca de "como conseguir hacer funcionar esta caja de TNT llamada sub7 que tengo en mis manos" se ha equivocado de sitio. Y por favor, permítaseme una última aclaración: los hackers no suelen ser los malos de las películas. Algunos ya enredábamos desde nuestra más tierna infancia con los BBS (Bulletin Board System) y con las centralitas E5SS de Telefónica (todavía en activo), y no rompimos nada. Un hacker es, por definición, alguien que se limita a dar cuenta de las vulnerabilidades del sistema. El problema no reside en estas personas sino en los crackers (verdaderos genios y artífices de todo tipo de instrumental para fastidiar al usuario final) o peor aún los lammers o wannabees: críos, adolescentes, que no encuentran más que diversión en destruir información ajena como método de autorealización. Habitualmente les suelen estallar sus propias bombas en sus manos. Triste. También esta introducción es un mensaje para ellos: "las armas, ya sean de fuego o un troyano informático los carga el diablo... ...y los dispara un gilipollas" :). Dicho todo esto pasemos a centrarnos en lo que propiamente nos concierne.

2.- Algo de terminología y otros consejos útiles

A modo de glosario expondré aquí una breve explicación de términos muy relacionados con la seguridad informáctica que aveces se confunden y otras no se sabe realmente que son.

Virus: programa maligno ejecutable (es decir terminado en .com o .exe generalmente) que al ejecutarse destruye o inutiliza partes esenciales del sistema operativo.

Troyano: o Caballo de Troya. Su nombre viene del mito griego. Lo que en apariencia no es más que un programa tonto o inocuo al ejecutarlo, y sin que nos demos cuenta, nos instala en memoria un virus que posteriormente será el que perjudique nuestro sistema operativo.

Gusano (i-Worm): una modalidad de virus característica por su velocidad de reproducción y su bajo nivel de daño. Su "payload" (código maligno) consiste principalmente en recortar recursos del sistema (tales como memoria RAM) y extenderse de forma rápida a otros equipos (via e-mail o DCC).

Spyware: programa adosado generalmente a otros que deja en nuestro equipo una "puerta trasera" (backdoor) de tal manera que otros usuarios puedan tener acceso sobre nuestra información o incluso sobre todo nuestro sistema operativo -como veremos con el Subseven- sin nuestro conocimiento ni consentimiento. Programas tan comunes como el gestor de descargas GoZilla contienen este tipo de software. Nada recomendable. Por cierto, un programa Spyware NO es un virus, aunque pueda venir acompañado de tal. Otros prograas spyware muy conocidos son GetRight, NetScape Communicator Smart Update, o RealPlayer. Respecto de GoZilla recomiendo vivamente su desinstalación total (es una recomendación opinable y opinada por el autor y haga el usuario lo que plazca por supuesto).

Ad-Aware: detector de posibles programas spyware en nuestro equipo. Muy conveniente tener uno y pasarlo de vez en cuando para saber si nos han dejado alguna "sorpresita" en el ordenador.

Firewall: programa de protección que consiste en cerrar todas las puertas o puertos de nuestro ordenador para que sólo acceda a internet y solo recibamos de Internet aquello que nos interese, siendo ignorado el resto. No es un antivirus, y no protege contra ellos, aunque es muy interesante tenerlo cuando se tiene un spyware por ejemplo, asi sabemos qe programas piden acceso a Internet que nosostros no conozcamos. Imprescindible dados los tiempos que corren. Son falsos firewalls aunque se vendan como tales el Antihack version 2.x y el Intruder Alert entre otros. Estos falsos firewalls en lugar de cerrar abren nuestros puertos, siendo así más fácil la penetración y el ataque. Respecto a otro firewall muy utilizado el Black Ice quisiera hacer una aclaración: sólo monitoriza el tráfico de entrada, y no el de salida es decir, si tuvieramos un firewall que controlase ambos traficos, podríamos percatarnos de un posible spyware. Con el Black Ice esto resulta imposible.

Dos direcciones de dos buenos firewalls:

Home Page de Conseal
Home Page de Zonealarm

Una página para que compruebes qué agujeros tienes abiertos y cuáles son en tu ordenador (en inglés, claro): Gibson Research. Muy recomendable para hacer comprobaciones tanto de puertos como de defensas periódicas, en su sección Shields up! de muy fácil manejo y completamente inofensivo.

Antivirus: programa que principalmente detecta, y de forma secundaria elimina cualquier virus que contenga en su base de datos. El truco no esta en tener el mejor antivirus sino en tenerlo actualizado al día o a la semana como mucho. Todos los antivirus aprobados por la ICSA (Internet Computer Security Agency) -antes NCSA- tienen a disposición del usuario estas actualizaciones en sus respectivas páginas web.

Algunas webs sobre antivirus:

Home page de Panda que permite hacer un scan online de nuestra máquina
Home page de Kaspersky Labs. (AVP)
Home page del McAfee antivirus
Home page del Norton Anti Virus

Anti-troyanos: similar al anterior, se centra en la detección y si es posible eliminación de estos programas "inocuos" que puedan contener software peligroso o payloads.

Recomiendo The Cleaner de Moosoft uno de los mas extendidos.

Hoax: (=bad taste joke). del inglés bulo mentira, broma de mal gusto. Término que en informática se refiere a la facilidad con que los crédulos usuarios finales (no tiene por qué ser de otra manera, dado su desconocimiento de las ténicas virológicas y heurísticas) creen todo lo que se dice. Archivos enviados que no deben abrirse, mails que deben enviarse, etc... En general programas que no sólo no son virus no troyanos sino que no ofrecen ningún peligro para el usuario que los recibe.
 

3.- Subseven, aproximación, detección y eliminación

Dentro de las casi infinitas categorías de programas maliciosos que existen pululando por la red existen los virus, los troyanos, los gusanos, los spywares, y programas que lo juntan todo, como el Subseven. Un verdadera maravilla en cuanto a control y potencial de peligro se refiere. Así que tratemos a este conjunto de software como lo que es: un programa de acceso remoto que se carga en el ordenador gracias a la recepción y ejecución de un troyano, permanece en memoria como un spyware una vez arrancado, y establece una comunicación con el anónimo remitente para que este se divierta a su gusto asustando al usuario (abriendo y cerrando su cd, imprimiendo sus propios documentos, cambiando sus temas de escritorio, dejando sus propios documentos en el escritorio, ¡incluso utilizando el ratón del usuario!, reiniciando o apagando a placer el ordenador, etc...), y con un virus cuyo payload (carga maligna) hará lo que se le haya ordenado (destruir librerías tan importantes como la wsock32.dll -con lo que nos quedaríamos sin poder acceder a internet- o, por qué no, formatear el disco duro, una vez el "gracioso" en cuestión se canse de jugar. Su manifestación ha sido tan prolífica en gran medida gracias a los envíos DCC bajo la forma de troyanos a otros usuarios desprevenidos.

Sobre el importantísimo archivo wsock32.dll hay otro tipo de gusano que le tiene especial manía: el W9x.Hybris.Gen y su variante más peligros el W9x.Hybris.PluginB, con el que se observa una espiral en el centro de nuestro escritorio que nos impide ver lo que hay detrás de esta ventana.

Así pues como todo software de acceso remoto, el Subseven se compone de dos partes: una parte servidor que la tiene quien quiere fastidiar y otra cliente (que la recibe el incauto usuario bajo nombres tan sugerentes como WINLOADER, sexyfun, setup.exe o cualquier otro que lo haga parecer inocuo). El cliente es el que hace todo el trabajo sucio y permite al cracker (lammer) conectar con nuestro equipo. Así pues, y visto desde fuera, parece un simple programa de administración remota de máquinas. Por desgracia es mucho más que esto, ya que ya son 17 las versiones existentes, y sus mecanismos de camuflaje son mejorados versión a versión. De ahí que un antivirus no pueda realmente eliminar este "virus".

La historia y capacidades de este programa son realmente increibles, y los síntomas igualmente alarmantes para cualquier usuario desprevenido:

  1. se abre y cierra la pletina del CD
  2. suenan extraños .wav
  3. se oye lo que el propio usuario esta diciendo, u oyendo (p. ej.: si tiene música a traves de los altavoces)
  4. las descargas de internet se ralentizan de manera notable y de repente
  5. archivos que aparecen y desaparecen del escritorio o cambian de lugar
  6. y la mas común de todas: el escritorio se convierte en una consola de matrix similar a la de la película con un cuadro para dialogar con el cracker y que, por supuesto, no podemos cerrar (ver imagen más abajo)
Evidentemente estos son algunos de los síntomas, los mas usuales que servirán al usuario para convencerse de que lo que tiene en su ordenador es un Subseven.

Los puertos por los que habitualmente entran estos programas en nuestro ordenador, a parte del envio DCC aceptado, claro está, y a los que hay que prestar especial atención son lo siguientes, todos del protocolo TCP:

  • 6667 (el mismo que el IRC),
  • 27374 puerto por el que se cuela la aplicación
  • 1243 conexión de entrada de datos del programa
  • 7215 para la "conexión matrix"
  • 54283 para el puerto espía (el componente spyware de Subseven)
Es interesante conocer las limitaciones de estos virus para poder monitorizar la entrada o salida de paquetes por estos puertos.

Basten 3 capturas de pantalla para asustarnos un poco:
 
Una vista del Editor de Registro remoto: ¡pueden hacer lo que quieran con nuestro registro!
La consola de comunicación normalLa "temida" consola matrix

Si observas cualquiera de estas dos últimas consolas en tu ordenador primer consejo: ¡¡¡desconéctate rápidamente de internet!!!

Los Diez Pasos para eliminar Subseven manualente (cuando el antivirus fracasa)

Momento Cero: Evidentemente, si tenemos un antivirus, fijarnos en que esté actualizado y pasarlo, una vez os desconectéis de internet. Si no lo tenéis, consultad las direcciones expuestas más arriba. IMPORTANTE. es posible que por la rapidez o efectos del virus no hagan falta seguir los diez pasos, aunque no está de más asegurarse. Es decir, si alguno de los pasos no se cumple en nuestra máquina, tanto mejor, ese trabajo que ahorramos.

Para escanear con estas utilidades DEBES estar desconectado COMPLETAMENTE de Internet, no vaya a ser que a través del control remoto, el cracker de turno nos lo impida.

En primer lugar, como ya dije, lo inmediato es una desconexión de internet y esta debe ser TOTAL: ni navegador, ni gestores de descarga, ni explorer, ni chat, ni mesengers, ni napster, NADA. Lo más seguro es cerrar la conexión telefónica.

Segundo paso: arrancar el ordenador en "modo a prueba de fallos". Para hacer eso hay dos maneras: al arrancar presionar la tecla <F8> hasta que nos aparezca un menú en modo MS-DOS un menú que nos permita entrar en "modo a prueba de fallos" (este es el mas indicado); o bien, si no conseguimos hacer esto, ir al menú inicio, ejecutar (1),

escribir msconfig dándole al botón aceptar (2)

y activar la opción "Inicio de diagnóstico..." según indica la imagen (3).

Bien. Los primeros pasos están dados. Ya estamos dispuestos para eliminar a Subseven de nuestro ordenador. Ahora toca apagar y arrancar (no reiniciar). Que la pantalla una vez reiniciada se vea con distintos colores es normal, pues el modo "a prueba de fallos" carga el mínimo de controladores posibles, y el mínimo de colores posbiles. Al reiniciar tras terminar estos pasos todo se restablecerá como lo teníamos al principio. Así que reitero una vez más mi mensaje: tranqulidad.

Tercer paso: parece evidente, -ya lo he dicho en el paso primero- pero no lo es. Si tenemos un buen antivirus (Panda, AVP, McAfee o NAV) pasadlo a ver si ahora podemos eliminarlo. NOTA: lo más seguro es que lo detecte e incluso diga que lo ha eliminado. Pero no por eso vamos a reiniciar todavía. Aún quedan cosas para revisar.

Cuarto paso: ahora empieza lo "difícil". Ante todo mucha calma y paciencia. Toca meterse en el registro de Windows que es donde guarda la configuración de todos los programas. Esto no debe alarmarnos, pues el propio Windows hace copias de seguridad automaticas, aunque por si las moscas, nosotros haremos una ahora mismo. De la misma manera que ejecutamos msconfig ahora vamos a ejecutar regedit. No aparecera una ventana titulada "Editor del Registro". Ya estamos en las tripas de nuestro Windows :)

Para hacer la copia de seguridad vamos al menú Registro y seleccionamos la opción Exportar archivo de registro. El cuadro de diálogo siguiente nos pregunta por la ubicación de esa copia de seguridad. Por comodidad indiquémosle el Escritorio. Una vez dado a aceptar veremos una ventana muy similar a esta:

* Para restablecer el antiguo archivo de sistema basta con abrir una pantalla ms-dos (ejecutar command) y ejecutar desde la línea de comando scanreg /restore

El sistema de funcionamiento del registro es como las carpetas normales de Windows. En esta pantalla se puede apreciar el menú Registro del que hablé antes.

Quinto paso: Ya estamos dentro del registro de Windows. Ahora debemos buscar lo siguiente (importante no perderse):

HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command

Insisto: fijémonos bien en todos los pasos y vayamos con calma porque todas las carpetas que indico aquí deben aparecer en vuestro registro. Asi que si no las encontrais u os hacéis un lío lo mejor es volver a empezar.

* Para volver a empezar, hay que cerrar completamente el Editor de Registro, y volverlo a ejecutar ¿ok?.

Os debe aparecer lo siguiente:

Es decir predeterminado (Default en inglés) y seguido comillas, comillas, tanto por ciento, uno, comillas, espacio, tanto por ciento, asterisco, comillas.

NOTA MUY IMPORTANTE: fijaos en qué pone en lugar de (predeterminado) pues ese es un componente del virus que deberemos eliminar a mano. Seguramente será una conjunción de letras y números sin sentido, así que no vendría mal que lo copiárais en un papel. En ocasiones el Subseven no elimina esta entrada pero añade otra. Lo que debe aparecer en vuestro ordenador es EXACTAMENTE lo que veis en la imagen.

De no aparecer esto, habrá que sustituir el valor que aparezca por lo que veis aquí. Primero, en caso de no aparecer (predeterminado) o (default) debéis borrar esa entrada del registro. Para eso haced click una sola vez encima de lo que ponga, y en el boton derecho del ratón os aparecerá la opción "eliminar. Para añadir la cadena correcta, id al menú "Edición", seleccionad "Nuevo" y dentro de nuevo "Valor de la cadena". En el nombre ponéis predeterminado y una vez hecho eso, doble click sobre predeterminado, e insertar en la ventana de diálogo que aparece: comillas, tanto por ciento, uno, comillas, espacio, tanto por ciento, asterisco.

Tambien podéis utilizar las herramientas diseñadas y testeadas por el autor:

(indícale al navegador "Abrir este archivo desde su ubicacón actual"
y despues responde que SÍ deseas insertarlo en tu registro)

* No obstante conviene fijarse en el nombre del .exe que sustituye a (predeterminado) para posteriores pasos.

Sexto paso: Ahora nos vamos hasta:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Si apareciese el mismo .exe que sustituía a (predeterminado) en el paso anterior, eliminadlo haciendo click con el ratón, y despues, de las opciones del botón derecho, seleccionad "eliminar". Por eso es IMPORTANTE fijarse, si es que no aparece como en la venta mostrada en el gráfico que otras cosas aparecen, y apuntarlas en un papel, pues seguramente el nombre sera completamente absurdo. Además de ese nombre (si existe, aunque es posible que no) eliminad cualquier valor que contenga cualquiera de las palabras siguientes:
 

WINLOADER
Win32nt 
Win32.Bin
WinCrypt
WinProtect
Win
xTnow
Ayespie
PowerSaveMonitor
rundll32

Sé que parecen muy tentadoras y muy propias de un sistema operativo, pero es aquí donde se demuestra que los creadores de virus no son estúpidos, por eso, a cualquiera le daría miedo borrar un valor WINLOADER . Hacedlo sin miedo, siempre y cuando aparezca cualquier palabra de esta lista.

Séptimo paso: navegamos hasta

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

Fijaos que ahora es RunServices y no sólo Run. Pues bien, ídem que en el paso anterior, si encontramos una palabra de las de la lista previa, eliminadla. Ánimo que cada vez estamos más cerca del final.

Octavo paso: ya podemos cerrar la aplicación del registro con <Alt>+<F4> o bien Registro | cerrar. Ahora pasamos también a otra sección complicada de Windows, pero que hay que afrontar sin miedo. De la misma manera que ejecutamos regedit ahora ejecutamos sysedit (fijaos bien en el nombre: sysedit). Aparecerá una ventana similar a esta:

Vamos directamente a la ventana titulada "win.ini". Alli aparecera un apartado titulado [windows] y debajo de el dos lineas de ejecución: load= y run=. Pues bien este paso consiste en asegurarnos que despues del signo "=" de load y run no hay NADA. si hubiera algo, debemos borrarlo. De tal forma que ese archivo comience de esta forma:

[windows]
load=
run=
etc...

Noveno paso: Vamos ahora a la ventana, dentro de este mismo programa, llamada system.ini. Allí debemos asegurarnos que en la línea shell dentro del apartado [boot] solo contenga:

shell=explorer.exe

Si apareciese cualquier cosa despues de "explorer.exe", habreís de borrarla, hasta que la línea quede como os la presento aquí.

Décimo paso: ¿Os acordáis del .exe que sustituía a (predeterminado) en el registro de windows hace unos pasos? Más os vale, porque ahora deberéis borrarlo. Despues de borrado, pasad de nuevo el antivirus y cualquier archivo infectado por el Subseven debería dejarlo borrar. Una vez hecho esto, volved a pasar el cleaner o el antivirus que tengais para aseguraros de que no aparece Subseven por ninguna parte.

Si es así: ¡¡LO HABEIS CONSEGUIDO!!. Así que ya podéis reiniciar tranquilos el ordenador normalmente, entrar a internet y comentadme que todo os ha salido bien xDDDDDD. Y sobre todo, constatad que no aparece ninguno de los síntomas anteriores ni consolas matrix, ni cds que se abren solos ni nada por el estilo.

¿Y si no es así?: sin duda, habéis pasado por alto alguno de los pasos expuestos anteriormente. Poned más atención o en casos muy graves consultad en el canal de #Ayuda_internet.
 

4.- Sobre los virus de correo electrónico

Me es imposible pasar por alto una serie de aclaraciones a este respecto. Por el momento, y dada la construcción lógica de los clientes de correo (el software) en IMPOSIBLE que solamente por recibie un e-mail nuestro ordenador quede infectado. Aún más. Es IMPOSIBLE que por guardar un archivo infectado en nuestro ordenador (digo guardar no activar o ejecutar) el virus nos infecte. Y cuando digo imposible, por favor, haced caso. Los virus necesitan son programas de ordenador, mal que nos pese, y como tales, para poder desempeñar su función debes ser EJECUTADOS. Si no lo son, el antivirus reconocerá igualmente su payload con la ventaja de no habernos infectado.

La pregunta: ¿Cómo sé entonces que un archivo adjunto es o no es o contiene un virus?

La respuesta: sencillo: descarga sin miedo el archivo en tu disco duro y pásale el antivrus a ese solo archivo. Esta medida es más que suficiente para garantizar el no contagio de virus por e-mail.

Insisto por experiencia: NUNCA abrir estos archivos adjuntos sino GUARDARLOS tal como nos lleguen en el disco duro (o en un diskefont face="courier new"e para los más paranoicos), y una vez guardados pasadles el antivirus.
 

5.- ¿Cookies? qué son y qué peligro plantean

A la hora de hacer un navegador, los programadores, y desarrolladores de software para internet se plantean una serie de cuestiones, sugerentes e interesantes para el usuario, pero que tienen su otra cara de la moneda, cara que muchas veces ni se explica ni se ve. Todos, supongo, hemos oido hablar de "personalización de publicidad", "denos sus datos para no molestarle con publicidad indeseada", y cosas por el estilo. Las cookies son el software que se encarga de hacer este trabajo, y por eso muchas veces estos sencillos archivos de tipo texto (editable con el bloc de notas de Windows) son el primer paso para un programa de spyware o simplemente para el seguimiento de los pasos del usuario por la red. En las cookies se almacenan, por poner un ejemplo de todos conocido, las contraseñas de internet que se piden en determinados clientes de correo-e y que dan opción de "recordar mi contraseña". Pues bien: ¿dónde crees que se almacena esa información, esa contraseña?. Está claro que en el servidor remoto no, iría contra las leyes. Se almacena en un pedazo de texto dentro de nuestro ordenador.

El peligro que ofrecen es evidente: qué pasa si un usuario tiene acceso a nuestro ordenador, o si un navegaador envía información recogida en estas cookies: sin ningún tipo de trabajo el cracker o lammer, o sencillamente una tercera persona no autorizada tiene acceso a datos valiosísimos.
 

6.- La necesidad de tener un buen firewall

Algo adelanté cuando expliqué el significado de esta palabra. La mayoría de gente no conoce la existencia de estos programas, otros no saben usarlos, y prácticamente el resto los desdeña. Los tres casos suponen un craso error. Es mucho más que útil tener un buen firewall por varios motivos, y a la vista de lo dicho hasta el momento el usuario puede imaginar alguno de estos motivos.

Principalmente, un firewall por definicion es un programa que controla el trafico de entrada y salida desde nuestro ordenador a la Internet y viceversa, ya sea dentro de una red local o del la propia Internet. Es decir, controla el tráfico en dos sentidos:

1.- qué, quién y por dónde entran a nuestro ordenador
2.- qué y por dónde sale nuestro ordenador a internet

El ya conocido Black Ice solo controla el primer punto, como primera defensa no está mal pero en absoluto es útil para los propósitos para los que está diseñado un firewall. Cualquiera de los dos enumerados más arriba en la sección terminología observan tanto el tráfico "de ida" a Internet como el de venida. Mi consejo por tanto es la instalación de uno de esos dos firewalls. El de Zonelabs tiene la ventaja de ser configurable y gratis para los home users, es decir, los usuarios normales. Pero para gustos... Que cada cual elija el firewall con el que se sienta mas a gusto. El Conseal es tremendamente sencillo. basta con darle a ON y estará activado.

El Zonealarm es más complicado, puesto que requiere del usuario que éste le indique los permisos de salida a internet de los programas que puedan acceder a internet, y si se desea que lo hagan en modo servidor o en modo cliente.

Zonealarm tiene además la opción "del candado" para no dejar salir a Internet ningún programa que no sean los marcados con el "tick" del "Pass Lock". De no tenerlo bien configurado recibiremos un error estándar de windows:

10050 network is unreachable

Es decir, lógicamente, con el candado hemos cerrado el acceso a Internet y Windows nos dice que no puede acceder a la red. ¿Lógico no? :)

Configurarlo es muy sencillo pese a estar en inglés. Aquí va la pantalla "programs" de dicho firewall y qué significa cada elemento que aparece:

Elementos que observaremos en la ventana de configuración del Zonealarm

1.- Columna "Program": en ella veremos todos los programas que de alguna manera "quieren salir a internet"

2.- Columna "Allow Connect": tiene a su vez dos apartados una linea verde y otra azul. No haremos distinciones aquí. El tick verde quiere decir que dejamos acceder a ese programa a internet. Por ejemplo, si no lo pusieramos a Netscape este no podria acceder a la red, pero no por problema de red o de software sino porque lo hemos prohibido en el firewall. Habitualmente, todos los programas deben tener esas dos "v" verdes.

3.- Columna "Allow Server": esta nos pregunta si deseamos que el programa en cuestión se le permita actuar como un servidor o no (el mirc con el Fserver() por ejemplo) Lo mejor seria que estuviese desconectado pero como a veces nos interesaran las transferencias de archivos entre usuarios, el interrogante que le vemos aplicado supone que una ventana de dialogo preguntara si deseamos que ese programa pueda tener permisos de servidor o no.

Donde está el peligro y por qué todos los programas tienen "?". Si permitimos acceder como server (las "v" verdes) estamos abriendo en nuestro ordenador un agujero, puesto que un servidor esta para que la gente acceda a él. Lo mejor es que nos pregunte, habrá momentos en que nos interese la transeferencia de archivos y otras que no.

Esto no hay que confundirlo con los cientes de correo-e como el Outlook, estos no son server aunque nos permiten la transferencia de archivos puesto que en su propio software y protocolo saben que debe actuar como tal, es decir, para recibir correo nos basta con tener activadas las "v" de "Allow Connect".

4.- Columna "Pass Lock": si os fijais el cando está en rojo es decir activdo, es decir, nada saldrá a Internet que no tenga la casilla "Pass Lock" clickada, y por supuesto nada entrará de internet sin pedir permiso antes. Evidentemente por seguridad es preferible tenerlo activado, aunque no es imprescindible ya que toda entrada no deseada nos sera consultada previamente.

Y así se configura un firewall personal.

7.- El Hybris.Gen, variantes, comportamiento y eliminación

Este virus siempre aparece por correo-e. El remitente puede ser "Snowhite and the seven dwarves" o cualquiera de nuestros amigos que cayó en la trampa. Lo que no cambia es el nombre del archivo adjunto que contiene este peligroso virus. Las variantes son:
 

  • anpo porn(.scr
  • atchim.exe
  • branca de neve.scr
  • dunga.scr
  • dwarf4you.exe
  • enano porno.exe
  • joke.exe
  • midgets.scr
  • sexy virgin.scr
Si recibimos cualquiera de estos archivos adjuntos estad seguros que se trata del virus. La solución principal es sencilla: eliminar el mail :)

De habernos contagiado del virus por haber caido en la tentación de abrirlo (mala tentación y reprochable conducta para un usuario de internet) necesitaremos de uno de los antivirus antes mencionados o de la siguiente herramienta para poder limpiarlo (guardarla en c:\ una vez descomprimida con winzip). Una vez descargada la herramienta debemos arrancar en modo línea de comandos (o arrancar desde diskette) y hacerla funcionar de la siguiente manera:

fixhybf /a

Una vez escrito esto en la línea de comandos comenzará el examen y limpieza del virus. Esta herramienta es especialmente útil cuando el programa que ejecutamos produces la imagen de una espiral en el centro de nuestro escritorio (es la variante conocida como W9x.Hybris.Plugin.B) aunque sirve para el resto de variantes del virus. Para variar deja restos que ni la herramienta ni el antivirus borran, es decir, hay que eliminar a mano. Los pasos son los siguientes:

Primero: comprobar que el archivo wsock32.dll no aparece en ninguno de estas dos ramas del registro (para entrar en el registro leer la sección correspondiente en el apartado del Subseven)

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

En caso de que aparezca eliminarlo como se indicó para eliminar las entradas de registro en la sección referente al Subseven.

Segundo: en el programa sysedit comprobar que la linea run= esta igual que como lo estaba para el subseven dentro de la ventana win.ini

run=

Si hubiera algo detrás del igual hay que eliminarlo. Antes, fijémonos en que es lo que hay pues el paso posterior es eliminar ese archivo.

Tercero: eliminar el archivo que win.ini cargaba sera algo asi como enmeenme.exe o un galimatías parecido, eso sí siempre de ocho letras repitiendo las cuatro primeras abbaabba, hjklhjkl, etc... Por lo tanto, papel y lápiz, localizado y eliminadlo.

Cuarto: reemplazar el archivo wsock32.dll dañado e infectado. Para eso necesitamos reiniciar el cd en modo normal, ir a msconfig, utilidad ya conocida como se citó en la Sección 3, y desactivar la opción "Cargar los elementos de la sección de inicio".

Quinto: introducir el cd de Windows, entrar en el directorio donde se encuentre precopy1 o win95_12 según sea el sistema y escribir el comando siguiente:

(W98) extract /a precopy1.cab wsock32.dll /L c:\windows\system
(W95) extract /a win95_12.cab wsock32.dll /L c:\windows\system

así lo colocara el propio sistema donde deba, ahorrándonos esa tarea.

Sexto: reiniciar el PC en modo normal y restablecer la opción "Cargar los elementos de la sección de inicio" dentro de msconfig.

Séptimo: volver a pasar el antivurs para ver si encuentra algún "residuo" del Hybris, si no encuentra nada ¡¡¡BINGO!!! Prueba superada. otro virus menos pululando por la red y un peligro potencial menos. Si no resulta, igual que dije en la Sección 3 repetir los pasos puesto que algo nos habremos pasado por alto.

8.- Sulfnbk.exe: un ejemplo de hoax que funciona

Intencionadamente lo he incluído como subtítulo de este tutorial porque en el canal hemos recibido, y seguimos recibiendo numerosísimas consultas acerca de este archivo. Pues bien, según los lammers que hicieron correr el bulo, la activación del virus se producía el 1 de Junio de 2001. A mí particularmente no me ha sucedido nada, y creo que al resto de gente que lea estas líneas tampoco.

¡OJO! No hay que confundir: sulfnbk.exe como su extensión indica es un archivo ejecutable, con lo cual no podemos tener la seguridad de que el archivo que nos estén enviando por mail sea el verdadero que viene en la distribución de Windows. ¿Cómo saberlo entonces? Os remito a la sección sobre virus de correo-e. Descargadlo en vuestro disco duro y comprobad con el antivirus si es o no es un virus o un troyano. De lo que estoy completamente seguro es que si ya tenéis ese archivo en vuestro ordenador (en el directorio c:\windows\command como lo tenemos todos) seguro que NO está infectado.

Tres notas a tener en cuenta por lo tanto sobre este hoax:

1.- No es un virus y por tanto no hay que borrarlo
2.- Su utilidad para el sistema de Windows es doble: por un lado sirve para proteger los nombres de archivo largos (aquellos que superen los 8 caracteres) y hacerlos visibles tanto en consolas ms-dos como en ventanas de Windows. Por otro es fundamental a la hora de hacer copias de seguridad (backups) para que el archivo que se comprima quede con el mismo nombre es integridad.
3.- Pese a lo que muchos dicen, la ausencia de este archivo del sistema Windows NO ES CRÍTICA. Es decir, si lo hemos borrado, podemos restaurarlo de una fuente de confianza (alguien que nos lo copie en un diskette, o descargándolo aquí) o sacándolo del mismo CD de Windows. Ya que viene con la distribución de Windows, aunque no pase nada por no tenerlo, es conveniente reponerlo en caso de haberlo borrado.

9.- Agradecimientos

El autor quiere agradecer la colaboracion de los laboratorios Symantec por su ayuda para poder diferenciar las diversas versiones de Subseven e Hybris, así como a todos los miembros de #Ayuda_internet (especialmente a ipy que me animó a hacerlo :**) que han tenido que enfrentarse con usuarios deseparados por estos o problemas similares y me han llevado a hacer este tutorial que espero os resulte valioso. Prometo futuras y próximas actualizaciones.

-Sphynx