Una pesadilla difícil de olvidar

Virus.Win32.Sality.ag

Esta realeza de ingeniería inversa se salta todo tipo de antivirus, y a pesar de que Kasperky lo tiene incluido en su base de datos (el único por el momento), son tantas las variantes que si no está actualizado a la fecha de este artículo, es muy probable que entre a su sistema Windows y haga de las suyas.
El veneno cambia de frasco
wfuqn.exe, ahxtb.pif, afuq.pif, y un largo etc de la familia con extensión pif, son los nombres de bautizo de estos engendros que no tienen buenas intensiones.

Algunas de sus maldades

Primero elimina todos los ejecutables de antivirus existentes (salvo los mediocres) y archivos ejecutables de herramientas y luego infecta todo lo que se le atraviese por delante (mp3, videos, etc). Como de costumbre en la mayoría de los virus actuales, deshabilita el acceso a los archivos de configuración (panel de tareas, regedit, bloquea la ejecución del antivirus, etc, etc).

Todo el arsenal de mygeekside.com (mata_mscs, y sus derivados) es inútil. Formatear el PC tampoco sirve (solo funciona si no tienes unidades lógicas o discos externos. En el caso de tenerlas, es demasiado tarde). 

Iniciar con un LiveCD de Windows o Linux para eliminarlo manualmente (De discos fisicos, logicos, externos, etc) tampoco hace la diferencia. Eliminar las carpetas Recycler y el contenido de System Volume Information no cambiará el resultado y el virus sigue ahí.

Simplemente no se puede eliminar por los metodos tradicionales porque el virus toma instaladores (o archivos exe) al azar dentro del PC y se camufla dentro. Al ejecutarse cualquiera de estos exe, tambien lo hace el virus. Y si tenias algún exe dentro de tus unidades logicas o discos físicos o externos, ya saben que sucederá.

Afortunadamente Kaspersky y AVG sacaron dos herramientas para eliminarlo. No se asusten cuando vea que agarra sus exe y los modifica. En realidad lo que hace es sacarle el virus dejando intacto el exe sin corromperlo.

Tengan mucha paciencia porque si tenian carpetas llenas de ejecutables (juegos flash, programas, etc), va a tardar muchas horas en limpiar todo.

Recomendamos por seguridad deshabilitar el autorun de todas las unidades y correr esta herramienta dos veces para estar seguros (la segunda después del reinicio) y cuando la ejecuten asegurense de tener todos sus dispositivos conectados para que haga la limpieza correctamente y no quede nada sin vacunar.
Lo malo de estas herramientas es que no limpian los exe infectados dentro de las carpetas en los dispositivos externos usb (solo la raíz)

Descarga de algunas variantes del Virus.Win32.Sality.ag AQUI 

(pass int: infected) (Solo para propósitos educativos)

Descarga de herramienta de Kasperky para remover Virus.Win32.Sality.ag AQUI

Para mayor información sobre el uso de esta herramienta visite Kaspersky Support

AIO-BootUSB es ahora una Suite de herramientas

Después de muchas ediciones del popular AIO-BootUSB, finalmente ha llegado el momento de convertirlo en lo que muchos usuarios nos solicitaban: Una suite de herramientas usb
Con la nueva edición nuestro compilado reúne infinidades de herramientas, para reparar, recuperar, diagnosticar y otras utilidades de vital importancia. Es nuestro objetivo convertir el AIO-BootUSB, no solo el la mejor suite para lanzar instalaciones de windows y linux desde un dispositivo usb, la cual registra 25 mil descargas, sino en la suite mas completa de herramientas para dispositivos usb disponible en la web
Hemos liberado con fecha 10 de Agosto del 2011 el AIO Boot-USB, el cual integra muchas herramientas nuevas y métodos de integración para lanzar instalaciones, el ya muy solicitado WinSetupfromUSB, entre otras sorpresas, manuales y utilidades. Se continua priorizando WinSetupFromUSB como mejor alternativa de arranque y en las secciones Boot Windows y Boot Linux aparecen múltiples programas que también se usan con el mismo propósito pero diferentes métodos. Y en la sección Tools todo el arsenal de herramientas usb

Descarga AQUÍ (contiene DD torrent y DD Dropbox). Para torrent use el cliente BitTorrent

Missing Plugin Adobe Flash 10 en Linux

En teoría si instalas adobe flash en cualquier distro de linux, funcionará, pero no es así.

En el caso de Ubuntu solamente con instalar los restricted que contiene todos los codecs necesarios + los repositorios de mediaubuntu es suficiente, pero también falla.

Missing Plugin es el mensaje al cual nos tiene acostumbrados Adobe Flash, sobre todo para las versiones Linux 64bits. Chrome y Mozilla no cargan videos youtube o cualquier cosa que contenga flash y nuestras vidas se vuelven miserables.

Hay soluciones de toda clase, desde la extravagante que ofrece adobe con su experimental plugin x64, la de los foros de Google, otras complicadas, algunas muy inocentes, las muy olímpicas, y muchas otras. Pero afortunadamente, después de múltiples pruebas realizadas utilizando todo lo que encontramos en internet y de instalar y desinstalar los programas, formatear, etc, nos dimos cuenta que la falla no es del plugin o los navegadores firefox o chrome, sino del wine o crossover.

Estos emuladores de Windows en Linux crean bottles que simulan la clasica unidad C de windows y todas las aplicaciones ejecutables que descarguemos e intentemos ejecutar en linux serán abiertas por estas aplicaciones e instaladas en los bottles, entre ellas flash que es la mas común. De hecho muchos programas de windows la necesitan y por tanto a veces se instala por defecto lo que genera un conflicto con la que tiene linux instalada

Solución: Busque en los listados de aplicaciones instaladas por wine o crossover (bottles) y revise que no este instalado flash en ninguna de sus versiones. Si está, desinstalelo y listo. Solo conserve la versión de flash instalada en linux

Y si necesita endemoniadamente usar flash en sus aplicaciones de Windows (algo inherente), entonces le recomendamos que se olvide de wine o crossover y más bien Virtualice (cree una VM de windows con VirtualBox de Oracle o VMWare) y evite conflictos innecesarios

Bloqueo P2P, redes sociales, messengers y opciones de sistema

En muchas ocasiones nos escriben administradores pidiéndonos que le ayudemos a filtrar tráfico P2P, messengers, redes sociales, y otras opciones de sistema. Muchos elijen Windows 2003 u 2008 server, en cambio otros, más conocedores de la avalancha de virus y malware que puede invadir sus servidores, se deciden por Linux.

En ambos casos es un dolor de cabeza filtrar este tipo de tráfico. El controlador de dominio de Windows y el iptables y squid de Linux son deficientes a la hora de cortar de raíz el ares, el messenger o las nuevas conexiones a las redes sociales via https.

Investigamos las soluciones que ofrece el mercado y este el resultado:

1. Cuentas limitadas para usuarios de Windows: Limita la instalación de programas, más no la ejecución de portables. Y si logran acceder al "control userpasswords2", puede decirle adiós a su política de seguridad

2. Filtrado por Iptables y Squid: Poco probable por la naturaleza del p2p y los messengers, y el módulo ipp2p ya está descontinuado. Además no se puede redireccionar el puerto 443 al squid para filtrar el nuevo acceso a las redes sociales vía https, ya que si se bloquea o se redirige, se bloquearían todas las conexiones seguras habituales y no restringidas (e-mails, cuentas bancarias, etc)

3. Firewall: Una pérdida de tiempo. Siempre lo saltan con vpn, https u otras alternativas

4. Hydra Assassin, Anti-ares, etc: Otra pérdida de tiempo. Es muy fácil eliminarlos

Y muchas ofertas más que no vale la pena mencionar. Y ante esto, un administrador al ver a sus usuarios tan felices y a su jefe firmando su carta de despido, qué puede hacer?

Lo único que hemos comprobado que resulta realmente efectivo es aplicar filtrado directamente en el usuario, no usando programas, ni metiendolo en un dominio restringido o poniéndole una cuenta limitada, sino modificando el registro sistema de Windows. Con unas cuantas modificaciones en el regedit basta para que el usuario jamás pueda ejecutar programas como el ares, bittorrent, windows live messenger, entre otros. Y si intenta acceder al registro o al gpedit.msc para restablecer los valores, también bloqueamos estos accesos

Además, puede bloquear las conexiones a redes sociales vía https, mediante restricción del host.

Puede descargar un pack que hemos recopilado para modificar el registro y archivos host AQUI, sin embargo Usted puede construir los .reg acuerdo con sus necesidades y bloquear las aplicaciones y sitios que no sean permitidos por las políticas de seguridad de su empresa. Desafortunadamente el pack no incluye bloqueo a aplicaciones que corrigen el registro sistema, debido a lo extensa que es la lista. En próximas actualizaciones lo incluiremos. También incluimos una serie de .reg para otros usos, como rendimiento, redes, etc, que pueden serle de utilidad para optimizar su sistema.