Instituto Tecnológico de Costa Rica

Escuela de Ingeniería Electrónica.

Diagnóstico y Virus

1

Índice de contenidoMalware..................................................................................................................................................... 5Noticias .................................................................................................................................................. 22Cuidado con los falsos antivirus.............................................................................................................. 38 Conficker.................................................................................................................................................44Antivirus...................................................................................................................................................47SmitFraud.................................................................................................................................................61Spybot Search and Destroy...................................................................................................................... 66Práctica de Instalación de Avast Antivirus............................................................................................... 82Revisión de infecciones Online................................................................................................................85Instalación de Microsoft Virtual PC.........................................................................................................87Deshabilitar auto-ejecución de medios de almacenamiento extraíbles..................................................110Firewall personal.................................................................................................................................... 114Práctica: Troyano Netbus....................................................................................................................... 121Mediciones de Ancho de Banda ............................................................................................................126Consola de recuperación de Windows XP............................................................................................. 137Recuperación de contraseñas en Windows XP..................................................................................... 152Win XP: Cambiar/Borrar contraseña del Administrador....................................................................... 152Reparar el Registro en Windows XP......................................................................................................154Diagnósticos de un computador personal.............................................................................................. 160Práctica sobre Diagnósticos de un computador personal.......................................................................161Crear un punto de restauración.............................................................................................................. 166Póngase en marcha con el escritorio remoto..........................................................................................174Cómo iniciar una sesión de escritorio remoto........................................................................................178Power On Self Test (POST)................................................................................................................... 184Identificadores de la Comisión Federal de Comunicaciones................................................................. 188CompTIA identificadores de reparación................................................................................................ 191LiveCD/DVD......................................................................................................................................... 196Reparando Windows con Knoppix ........................................................................................................208Cómo modificar el archivo Boot.ini en Windows XP............................................................................222

2

Instituto Tecnológico de Costa RicaEscuela de Ingeniería en ElectrónicaPrograma de Capacitación en ElectrónicaPrograma de Técnicos en Mantenimiento y Reparación de PC's

Curso de Diagnóstico y VirusInstructor: Ing. William Marín Moreno.

Malware

De WIKIPEDIA, la enciclopedia libre

Malware (del inglés malicious software, también llamado badware, software malicioso osoftware malintencionado) es un software que tiene como objetivo infiltrarse en el sistemay dañar la computadora sin el conocimiento de su dueño, con finalidades muy diversas, yaque en esta categoría encontramos desde un troyano a un spyware.

Esta expresión es un término general muy utilizado por profesionales de la computación paradefinir una variedad de software o programas de códigos hostiles e intrusivos. Muchosusuarios de computadores no están aún familiarizados con este término y otros inclusonunca lo han utilizado. Sin embargo la expresión "virus informático" es más utilizada en ellenguaje cotidiano y a menudo en los medios de comunicación para describir todos los tiposde malware. Se debe considerar que el ataque a la vulnerabilidad por malware, puede ser auna aplicación, una computadora, un sistema operativo o una red.

Factores que hacen a un sistema más vulnerable Existen varios factores que hacen a un sistema más vulnerable:

• Código sin confirmar - Un código en un diskette, en CD-ROM o USB, se puedeejecutar por la irresponsabilidad o ignorancia del usuario.

• Defectos - La mayoría de los sistemas contienen errores que se pueden aprovecharpor el malware, mientras no se ponga el parche correspondiente.

• Homogeneidad - Cuando todas las computadoras en una red funcionan con el mismosistema operativo, sí pueden corromper ese SO, podrán afectar cualquiercomputadora en el que funcione.

• Sobre-privilegios del código - La mayoría de los sistemas operativos permiten que elcódigo sea ejecutado por un usuario con todos los derechos.

• Sobre-privilegios del usuario - Algunos sistemas permiten que todos los usuariosmodifiquen sus estructuras internas.

3

Bugs

La mayoría de los sistemas contienen bugs (errores) que pueden ser aprovechados por elmalware. Los ejemplos típicos son los desbordamiento de búfer (buffer overflow), en loscuales la estructura diseñada para almacenar datos en un área determinada de la memoriapermite que sea ocupada por más datos de la que le caben, sobre escribiendo áreas anexas.Esto puede ser utilizado por el malware para forzar al sistema a ejecutar su código.

Nota histórica: La palabra BUG se utiliza para referirse a fallos, pero una de lasconnotaciones históricas más comentada es "un error computacional causado por una polillaque se interpuso entre los contactos de un relé probablemente debido al calor quedesprendían las primeras computadoras", hay otra historia, que suele suceder en contadasocasiones, es que animales de compañía se coman el cableado. Curiosamente en el mundode la informática, se ha venido utilizando para errores software, cuando originalmente erapara referirse a errores hardware.

Discos de inicio

Los PCs tenían que ser booteadas (iniciadas) con un diskette, y hasta hace poco tiempo eracomún que fuera el dispositivo de arranque por defecto. Esto significó que un diskettecontaminado podría dañar la computadora durante el arranque, e igual se aplica a CDs yllaves USB.

Aunque eso es menos común ahora, sigue siendo posible olvidarse de que el equipo se iniciapor defecto, en un medio removible, y por seguridad normalmente no debería haber ningúndiskette, CD, etc, al encender el computador.

Para solucionar esto basta con entrar en la BIOS del ordenador y cambiar el modo dearranque del ordenador a HDD/CDROM/USB/Floppy, aunque para volver a instalar elsistema operativo hay que revertir los cambios a Floppy/CDROM/USB/HDD.

Homogeneidad

Una causa no citada de la vulnerabilidad de redes, es la homogeneidad del softwaremultiusuario. En particular, Microsoft Windows tiene una gran parte del mercado que alconcentrarse en él permitirá a crakers derribar una gran cantidad de sistemas.

Sobre-privilegios de usuario

En algunos sistemas, los usuarios no-administradores son sobre-privilegiados por diseño, enel sentido que se les permite modificar las estructuras internas del sistema.

En algunos ambientes, los usuarios son sobre-privilegiados porque les han concedidoprivilegios inadecuados de administrador o el estado equivalente. Éste es sobre todo unadecisión de la configuración, pero en los sistemas de Microsoft Windows la configuración pordefecto es sobre-privilegiar al usuario.

Esta situación existe debido a decisiones tomadas por Microsoft para priorizar lacompatibilidad con viejos sistemas sobre la necesidad de una nueva configuración deseguridad y porque las aplicaciones típicas fueron desarrollados sin tomar en cuenta a losusuarios sin privilegios.

4

Muchas aplicaciones existentes que requieren exceso de privilegio (código sobre-privilegiado) pueden tener problemas con la compatibilidad con Vista. Sin embargo, lacaracterística del control de la cuenta del usuario de Vista procura remediar las aplicacionesno diseñados para los usuarios no privilegiados, actuando como apoyo para resolver elproblema del acceso privilegiado inherente en las aplicaciones heredadas.

Sobre-privilegio de código

Los malware, funcionando como código sobre-privilegiado, pueden utilizar estos privilegiospara cambiar el sistema. Casi todos los sistemas operativos populares, y también muchasaplicaciones escritas no prohíben algunos códigos también con muchos privilegios,generalmente en el sentido que cuando un usuario ejecuta el código, el sistema no limita esecódigo a los derechos del usuario. Esto hace a los usuarios vulnerables al malware en laforma de anexos de E-mail, que pueden o no pueden ser disfrazados. Dado esta situación,se advierte a los usuarios que abran solamente archivos solicitados, y ser cuidadosos dearchivos recibidos de fuentes conocidas o desconocidas que no han solicitado.

Es también común para los sistemas operativos que sean diseñados de modo quereconozcan más dispositivos de los diversos fabricantes y cuenten con drivers de estoshardwares, aún algunos que puede no ser muy confiables.

Clasificación

Existen muchísimos tipos de malware, aunque algunos de los más comunes son los virusinformáticos, los gusanos, los troyanos, los programas de spyware/adware o incluso ciertosbots.

Dos tipos comunes de malware son los virus y los gusanos informáticos, este tipo deprogramas tienen en común la capacidad para auto replicarse,[2] es decir, puedencontaminar con copias de sí mismos y en algunas ocasiones mutando, la diferencia entre ungusano y un virus informático radica en la forma de propagación, un gusano opera a travésde una red, mientras que un virus lo hace a través de ficheros a los que se añade.

Los virus informáticos utilizan una variedad de portadores. Los blancos comunes son losarchivos ejecutables que son parte de las aplicaciones, los documentos que contienenmacros (Virus de macro), y los sectores de arranque de los discos de 3 1/2 pulgadas y discosduros (Virus de boot, o de arranque). En el caso de los archivos ejecutables, la rutina deinfección se produce cuando el código infectado es ejecutado, ejecutando al primero elcódigo del virus. Normalmente la aplicación infectada funciona correctamente. Algunos virussobrescriben otros programas con copias de ellos mismos, el contagio entre computadorasse efectúa cuando el software o el documento infectado van de una computadora a otra y esejecutado.

Cuando un software produce pérdidas económicas en el usuario del equipo, también seclasifica como software criminal o Crimeware, término dado por Peter Cassidy, paradiferenciarlo de los otros tipos de software malignos, en que estos programas sonencaminados al aspecto financiero, la suplantación de personalidad y el espionaje, alidentificar las pulsaciones en el teclado o los movimientos del ratón o creando falsas páginasde bancos o empresas de contratación y empleo para con ello conseguir el número decuenta e identificaciones, registros oficiales y datos personales con el objetivo de hacer

5

fraudes o mal uso de la información. También es utilizando la llamada Ingeniería social, queconsiste en conseguir la información confidencial del propio usuario mediante engaños, comopor ejemplo, mediante un correo en donde mediante engaños se solicita al usuario enviarinformación privada o entrar a una página falsificada de Internet para hacerlo.

Adware

Este software muestra o baja anuncios publicitarios que aparecen inesperadamente en elequipo, pudiendo hacerlo simultáneamente a cuando se está utilizando la conexión a unapágina Web o después de que se ha instalado en la memoria de la computadora.

Algunas empresas ofrecen software "gratuito" a cambio de publicitarse en su pantalla, otrasal instalar el programa, se instalan junto con Spyware sin que lo note.

También existen algunos programas "a prueba" (shareware), que mientras no son pagados,no permiten algunas opciones como puede ser imprimir o guardar y además en ocasionescuentan con patrocinios temporales que al recibir la clave libera de tales mensajespublicitarios y complementan al programa.

El adware es una aplicación que muestra publicidad y que suele acompañar a otrosprogramas. Si bien esto puede hacerse, en algunas oportunidades, bajo el conocimiento delusuario, el problema radica en los casos en los cuales se recoge información sin consultar.

También pueden ser fuente de avisos engañosos. Por lo general los programas adware tienela capacidad de conectarse a servidores en línea para obtener publicidades y enviar lainformación obtenida. Cabe aclarar que no toda aplicación que muestra algún tipo depublicidad incluye adware y esto, en muchos casos, se ha transformado en una controversiapara determinar cuando un elemento se encuadra dentro de estas características.

Backdoor

Una puerta trasera (también conocidos como Backdoor) es un software que permite elacceso al sistema de la computadora ignorando los procedimientos normales deautenticación o facilita la entrada a la información de un usuario sin su permiso oconocimiento. Como es el caso de e-mail, que aparentan ser enlaces a actualizaciones y queal pulsarla nos conecta a páginas similares a las originales, descargando archivos backdoorque al instalarlos, abrirá un puerto del equipo, dejándolo a expensas del autor del malware opara poder descargar otros códigos maliciosos.

Según como trabajan e infectan a otros equipos, existen dos tipos de puertas traseras. Elprimer grupo se asemeja a los Caballo de Troya, es decir, son manualmente insertadosdentro de algún otro software, ejecutados por el software contaminado e infecta al sistemapara poder ser instalado permanentemente. El segundo grupo funciona de manera parecidaa un gusano informático, el cuál es ejecutado como un procedimiento de inicialización delsistema y normalmente infecta por medio de gusanos que lo llevan como carga.

Badware Alcalinos

Este es un tipo de Malware mitad spyware, mitad backdoor, suele residir en las ventanas del

6

sistema observando incesantemente hasta que se lanza al acecho de un usuario.

Bomba fork

Programa que se autoreplica velozmente para ocupar toda la memoria y capacidad deproceso del ordenador donde se ejecutan, debido a que su forma de ataque es del tipodenegación de servicio (DoS) que es un ataque al servidor o a la red de computadoras paraproducir la inconectibilidad a una red debido a que consume el ancho de banda atacado, alcrear programas y procesos simultáneos muy rápidamente, saturando el espacio disponible eimpidiendo que se creen procesos reales del usuario.

Bots

Es un programa robot que se encarga de realizar funciones rutinarias, pero que tambiénpueden ser usados para, por ejemplo, crear cuentas en los diferentes sitios que otorgan e-mail gratuitos, para con estas cuentas realizar daños.

En algunos casos este bot, puede encargarse de fingir ser un humano dando contestación apreguntas como es el caso de supuestos adivinos que dan el futuro a aquellos que pagan poreste servicio o fingir ser una mujer u hombre con quien se esta teniendo una candenteconversación, pero también pueden ser juegos de Internet programados para jugar contrasupuestamente una serie de contrincantes que lo son en forma virtual, pudiendo pedircantidades de dinero para poder participar y con ello además poder tener datos de cuentasde tarjetas de crédito.

También son programas que a través de órdenes enviadas desde otra computadoracontrolan el equipo personal de la víctima, es decir convirtiéndola en un "Zombi".

Bug

Es todo error en la programación que impide funcionar bien a los equipos de cómputo. Se lellama así por la entrada de una polilla encontrada atrapada entre los puntos en el relé # 70,panel F, de la Mark II , Construida por Aiken, cuando era probada en la Universidad deHarvard, el 9 de septiembre de 1945.

Se dice que fue Grace Murray Hopper, quien identificó a la polilla dando el término bug(insecto) (anglicismo que significa error o fallo en un programa o sistema), cuando,trabajando en el equipo de programación de la marina, escribió en su cuaderno de trabajo:"moth in relay, First Actual case of bug being found" (polilla en relé, primer caso real deinsecto -error de computación- encontrado). Puso la palabra "debugging a computerprogram" es decir de que "depurando un programa de computadora", o, habían eliminadoerrores del programa de cómputo, y anexo al insecto.

7

El registro, con la polilla incrustada, Cortesía del Naval Surface Warfare Center, Dahlgren,VA., 1988

Cookies

La cookie es el tipo de almacenamiento de información guardado en el propio equipo quepuede hacer normalmente el seguimiento de las preferencias en Internet dándole una claveque su creador podrá identificar para con ello tener una referencia de visitas con la finalidadde medir preferencias de mercado. Pero también por lo mismo puede ser usada por hackerspara analizar qué páginas consulta un usuario regularmente, quitándole privacidad. Estoscookies se pueden aceptar o evitar en nuestros equipos, por medio de la configuración deprivacidad de las opciones del navegador de Internet.

Crackers

Son programas que monitorean las contraseñas en las aplicaciones de la máquina.

Además de referirse a hackers con malas intenciones,a los que se les conocen tambiéncomo ladrones de contraseñas, se considera que lo hacen para demostrar su habilidad ysatisfacer su vanidad, dañando la relativa seguridad del cifrado, en algunos casos dejandohasta su rubrica, para hacer más palpable su osadía.

8

Cryptovirus, Ransomware o Secuestradores Es el programa que entra a la computadora y se instala, registra su estancia en dispositivosde almacenamiento extraíble (flash disks, pendrives, etc.) buscando y cifrando los archivosdel registro del disco infectado, después borran los originales en forma inadvertidamentepara el usuario, haciéndolos inaccesibles para el dueño y cuando se intenta abrir algúndocumento, a través de un archivo de texto que forma parte de este malware informa, comoen el AIDS.exe: "Si quiere obtener una clave para liberar el documento, ingrese 378dólares a la cuenta en la ciudad de Panamá número X",o también se le solicita que seenvíe el pago vía Internet (rescate), para obtener la clave de dicha codificación (la liberacióndel rehén). o bien simplemente impide el ingreso del usuario a su unidad de almacenamientoextraíble ocasionando el bloqueo temporal del sistema hasta la desconexión del dispositivode la PC. Como en el "Cn911.exe" (aplicación encubierta como ejecutable que se instala enel registro de usuario y lo modifica.) La codificación es de claves simétricas simples, es decirson aquellas que utilizan la misma clave para cifrar y descifrar un documento lo que ocasionala reducción de la capacidad de almacenamiento del disco extraíble, sin embargo algunosusuarios con conocimientos informáticos avanzados, descifran, cuales son dichas claves ypueden llegar a recuperar la capacidad real del dispositivo, trucada por el malware.

Dialers

Los dialers son programas que llaman a un número telefónico de larga distancia, o de tarifasespeciales, para, a través del módem, entrar de forma automática y oculta para el usuario ysin su consentimiento, principalmente a páginas de juegos, adivinación o pornográficas, quevan a redituar en beneficio económico a los creadores del malware, pero que además alusuario le crean la obligación de pagar grandes tarifas por el servicio telefónico.

Existen en Internet páginas preparadas para descargar, instalar y ejecutar dialers deconexión y virus informáticos capaces de llevar a cabo todo lo anterior, con la desventaja desu rápida propagación.

Actualmente las conexiones por medio de banda ancha, han evitado estos problemas.

Exploit

Un exploit es aquel software que ataca una vulnerabilidad particular de un sistema operativo.Los exploits no son necesariamente maliciosos –son generalmente creados porinvestigadores de seguridad informática para demostrar que existe una vulnerabilidad. Y poresto son componentes comunes de los programas maliciosos como los gusanosinformáticos.

9

Exploit

Falso antivirus

Hacen creer que es un antivirus gratuito y que la computadora ha sido detectada infectada,pero que para deshacerse de la infección deberá comprar la versión completa, y si trata deeliminar esta instalación del supuesto antivirus le informan que debe tener la clave dedesinstalación, la cual deberá comprar. En caso de que el falso antivirus no dejedesinstalarse hay que eliminar el registro, que puede ser ejecutado desde inicio-ejecutar yescribiendo la palabra regedit.

Hijacker

Programa que realiza cambios en la configuración de la página de inicio del navegador, quelo redirige a otras páginas de características indeseables como son las pornográficas y máspeligrosamente a copias casi fieles de las bancarias.

Hoaxes, Jokes o Bulos

Son bromas que semejan ser virus, pero que, ciertamente no los son. Normalmente unapersona conocida nuestra recibe una "alarma" de un supuesto virus y nos "hace el favor" denotificarnos para que tomemos precauciones en nuestro equipo.

El objetivo de la persona que inició el rumor o hoax se ha cumplido, al preocupar al usuariocon la broma y que, en muchos casos, puede hacer al usuario auto eliminar algún supuestoarchivo contaminado, lo cual podría afectar realmente al funcionamiento del sistema,llegando incluso a tener que reinstalarlo.

10

Keystroke o keyloggers

Son programas espías, que toman el control de los equipos, para espiar y robar información,monitorea el sistema, registrando las pulsaciones del teclado, para robar las claves, tanto depáginas financieras y correos electrónicos como cualquier información introducida porteclado, en el equipo utilizado para saber lo que la víctima ha realizado como conversacionesque la misma tuvo, saber donde ha entrado, qué ha ejecutado, qué ha movido, etc.

Pueden ser también aparatos o dispositivos electrónicos colocados intencionalmente enequipos, que se intercalan entre el dispositivo y el computador.

Ladilla virtual

Conocido como (virtual crab). Este tipo de programa maligno que, como analogía al parásitode transmisión sexual, entra en una computadora a través del sexo virtual, sitiospornográficos o cualquier aplicación relacionada. Los sitios web pornográficos suelen ser ungran caldo de cultivo para estos Malware virtuales.

Lammer

Típicamente el término lamer se aplica:

A los usuarios de programas informáticos, que es:

• Una persona que alardean de pirata informático, crackers o hackers y solo intentautilizar programas de fácil manejo realizados por auténticos hackers, sin obtener losresultados que pretendía; incluso llegando a perjudicarse a el mismo.

• Una persona que no tiene habilidad para manejar programas básicos o conocidos,para su uso en el computador u otro aparato digital (ejemplo celulares).

A los usuarios de Internet, en particular a los usuarios de chats, foros, blog, wiki, listas decorreo, y otros medios de comunicación electrónica, que es:

• Una persona que realmente se cree ser un entendido o tener grandes conocimientos,siendo en realidad un inepto en la materia.

• Una persona con intención de molestar a los demás usuarios (trol). • Una persona con poco respeto a la autoridad y a los moderadores en medios de

comunicación como chats y foros. • Una persona que no entiende las reglas del chat, foros, weblogs a pesar de ser un

usuario antiguo. • Una persona que en las redes P2P, es considerado un usuario leecher, ya que solo

descargan archivos y no comparten nunca (por ejemplo, apagando el programacuando ha terminado la descarga).

• Una persona que en el mundo del P2P pero sobre todo el del P2M, comparte archivossubidos por otras personas como si fuesen suyos propios, sin pedir permiso al autororiginal y a veces sólo cambiando el nombre del archivo.

Leapfrog

Las ranas como también se conocen en castellano son programas que entran a los equipos

11

para conocer las claves de acceso y las cuentas de correo almacenadas en la libreta dedirecciones para ser utilizadas en la replicación de estos, a través de enviar copias delgusano.

Parásito Informático

Este tipo de malware es el que se adhieren a archivos (especialmente ejecutables), como loharía un parásito. Ese archivo ejecutable es denominado portador o Host y el parásito loutiliza para propagarse. Sí el programa es ejecutado, lo primero que se ejecuta es el parásitoinformático, y luego, para no levantar sospechas, se ejecuta el programa original. Muchasveces es aquí donde los parásitos fallan, porque hay programas que detectan estasmodificaciones y lanzan errores (incluso errores de advertencias de presencia de malware).

Pharming

Es el software maligno que suplanta el DNS, en el archivo host local, para conducirnos a unapágina Web falsa, con lo cual, al intentar entrar a un determinado nombre de dominio ennuestro navegador nos redirecciona al que el cracker, ha cambiado.

Por ejemplo la página de un banco pudiera ser www.bankito.com (xxx.156.24.196), nos locambia por www.banquita.com (YYY.132.30.60), con lo que al parecerse, no nos percatamosnormalmente que nos esta enviando a otra página controlada por el bandido cibernético.

Para poder instalarnos la página que realizara el direccionamiento, se instalará en nuestrosistema algunos programas malware ejecutables, que recibimos a través de un correoelectrónico, descargas por Internet, programas P2P, etc.

Siendo en este momento el más común el envió de una supuesta tarjeta de Gusanito.com,que al entrar en el vinculo contenido en el correo electrónico, no solo nos da la sorpresa de latarjeta, sino que ha realizado la descarga correspondiente que se encargará de autoejecutarse creando el host que redirecciona nuestro navegador a las IP de las páginas falsasadministradas por el hacker.

Phishings

Del inglés "fishing" (pescando), se utiliza para identificar la acción fraudulenta de conseguirinformación confidencial, vía correo electrónico o página web, con el propósito de que losusuarios de cuentas bancarias lo contesten, o entren a páginas aparentemente iguales a ladel banco o de los portales con ingreso por contraseña.

El phishing se basa en el envío por parte de un estafador de un mensaje electrónico o enlacede una empresa supuestamente respetable. Éstas a menudo conducen a una página Webfalsificada que han creado, y engañan al usuario para que introduzca su contraseña y suinformación personal. Así lo convierten en un blanco fácil del robo de información personal ofinanciera de manera electrónica utilizando el nombre de un tercero (banco) y últimamente

12

las páginas del acceso a e-mails de compañías como Yahoo!.

Nunca debe darse información de cuentas bancarias por otros medios que no sea en lassucursales correspondientes al banco, ya que por medio de correos electrónicos con enlacesfalsos, supuestamente del banco, pueden solicitar los números de cuentas y contraseñaprivados, con lo que se les está dando todo para que puedan cometer el fraude.

En falsas cartas bancarias:

• Se presiona al cliente con supuestas fallas en su información o en los servidores quees urgente atender.

• El documento puede contar con faltas de acentos ortográficos en palabras como línea,dirección, activación, cámbiela, etc.

• Para dar confianza al usuario se colocan botones e imágenes que le son conocidospor la página real y las advertencias usuales de la página de acceso normal.

• Para completar el engaño, advierte del envío de e-mails falsos, siendo en sí mismouno de ellos.

• El medio para entrar a la página web suplantada puede ser "http://" (en lugar del real"https://")+ nombre de la página web (siendo este la dirección real a la que entramosnormalmente) + "@" + dirección del sitio al que nos redirige.

El método de entrar a las páginas Web de los diferentes Bancos de algunos países, esusando el generador de claves dinámicas de las compañías Aladdin y el RSA SecurID, con loque se espera terminar con los Phishing.Por lo tanto ahora el ataque de los pescadores de datos (fishing), es pidiéndole quesincronice su generador de claves, con lo que inmediatamente entran a la cuenta del usuariosacando lo que puedan y cambiando hasta las claves de acceso.

13

También Yahoo da protección por medio de la creación del llamado sello de accesopersonalizado,que consiste en colocar una imagen o texto, el cual debe aparecer cada vezque se inicie sesión en Yahoo, en la computadora en que se ha colocado, púes se vincula aella y no al usuario del correo. Si el sello de acceso NO está, es probable que sea una páginafalsificada creada por un estafador para robar los datos personales.

Generador de claves dinámicas

14

Pornware Describe programas que usan el Módem de la computadora para conectarse a servicios depago por evento pornográfico o para bajar contenidos pornográficos de la Web. Es un casoparticular de Dialers.

Es un auténtico fraude mediante información engañosa, manifiestan que es completamentegratuito, el sitio a visitar es en efecto sin costo, pero solo se tiene acceso por vía telefónica(MODEM), que resulta con una alta tarifa por minuto que se refleja en el recibo telefónico(por lo regular utilizan una clave de larga distancia internacional (900) con un cargoaproximado de $20.00 USD por minuto). Esta técnica fraudulenta utiliza como señuelovideojuegos, salva pantallas, programas o cualquier otra falacia que requiera accesomediante un MODEM telefónico.

Primero se descarga desde algún sitio que ofrece todo absolutamente gratis un pequeñoprograma ejecutable, que coloca en el escritorio de la PC un llamativo ícono para quecualquier incauto con un simple click haga el enlace mencionado, aparecen insistentesmensajes sugiriendo de que todo es completamente gratis y sin límite de tiempo.

Sin embargo, se están extinguiendo por dejarse de lado los Módems convencionales de56Kbps, y usarse Tarifas Planas en Red Ethernet de Banda ancha o ADSL.

Rabbit o conejos

Reciben este nombre algunos gusanos informáticos, cuyos códigos malignos llenan el discoduro con sus reproducciones en muy poco tiempo y que también pueden saturar el ancho debanda de una red rápidamente además de poder mandar un número infinito de impresionesdel mismo archivo, colapsando la memoria de la impresora al saturarla.

Riskware

Programas originales, como las herramientas de administración remota, que contienenagujeros usados por los crackers para realizar acciones dañinas.

Rootkit

Artículo principal: Rootkit

Los rootkits son programas que son insertados en una computadora después de que algúnatacante ha ganado el control de un sistema. Los rootkit generalmente incluyen funcionespara ocultar los rastros del ataque, como es borrar los log de entradas o encubrir losprocesos del atacante. Los rootkit pueden incluir puertas traseras, permitiendo al atacanteobtener de nuevo acceso al sistema o también pueden incluir exploits para atacar otrossistemas y evitan ser desinstalados o eliminados a toda costa, pues cuenta con protecciónpara no permitirlo, con lo cual se convierte en un programa indeseable y molesto. Los rootkitse volvieron famosos a partir de uno que estaba incluido en un mecanismo anticopia enalgunos CD de música de la empresa Sony.

15

Scumware o escoria

Scumware o escoria es cualquier software que hace cambios significativos en la apariencia yfunciones de las páginas Web sin permiso del Administrador (Webmaster) o propietarios. Porejemplo, un número de productos sobreponen la publicidad de los banners con otrosanuncios, a veces para los productos de la competencia. El Scumware puede agregarhyperlinks desautorizados a la sección opinión de una página Web - a veces usar de unusuario acoplamientos a los sitios posiblemente desagradables. Tales programas puedeninterferir con hipervínculos (hyperlinks) existentes agregando otros destinos a los previstos. Aveces, el Scumware es conocido como thiefware.

Spam

Se le llama spam a los e-mailes basura, que son enviados masivamente a direccioneselectrónicas compradas por empresas con la finalidad de vender sus productos.

Últimamente han surgido páginas con mensajes que aparecen en un corto instante de tiempo(efecto flash) tratando de producir en el inconsciente de la mente la necesidad de comprar elproducto anunciado como si de un mensaje subliminal se tratara.

Actualmente existen filtros que bloquean los spam en la mayoría de los servidores de correo,además de existir ya legislación contra los spam,[20] México cuenta desde el 2000,con unaley en donde se prohíben las practicas comerciales no solicitas por correo electrónico,además de artículos en la Ley Federal de Protección al Consumidor, que regulan el comercioelectrónico,[21] aunque los spam son enviados desde otros países para evadir estas y otrasrestricciones mundiales.

Lista de correos spam

Se calcula que alrededor del 75% del correo electrónico que circula en la red son spam, peropodemos observar que tiene variaciones mensualmente. Sophos, en su lista “Dirty dozenspam relaying countries”, incluye una categoría de generación de spam por país con estos

16

porcentajes: United States 23.2%, China (inc. Hong Kong) 20.0%, Corea 7.5%, Francia 5.2%,España 4.8%, Polonia 3.6% , Brasil 3.1%, Italia 3.0%, Alemania 2.5%, Inglaterra 1.8%,Taiwán 1.7%, Japón 1.6%, Otros 22.0%.

Spyware

Los Spywares o Programa espía, son aplicaciones que se dedican a recopilar información delsistema en el que se encuentran instaladas(“husmean” la información que está en nuestroequipo) para luego enviarla a través de Internet,generalmente a alguna empresa depublicidad en algunos casos lo hacen para obtener direcciones de e-mail. Todas estasacciones se enmascaran tras confusas autorizaciones al instalar programas de terceros, porlo que rara vez el usuario es consciente de ello. Estos agentes espía, pueden ingresar a laPC por medio de otras aplicaciones. Normalmente trabajan y contaminan sistemas como lohacen los Caballos de Troya.

Troyano

Un troyano o caballo de Troya (traducción literal del inglés Trojan horse) es un malware quebajo una apariencia inofensiva se ejecuta de manera oculta en el sistema y permite el accesoremoto de un usuario no autorizado al sistema. El término viene de la historia del Caballo deTroya en la mitología griega. Los troyanos no propagan la infección a otros sistemas por simismos y necesitan recibir instrucciones de un hacker para realizar su propósito.

Se considera que el primer troyano aparece a finales de los años 1980, pero eran pococomunes al ser necesario que el programa se distribuyera casi manualmente, fue hasta quese generalizo la comunicación por Internet, que se hizo más común y peligroso al entrarocultos e instalarse cuidadosamente sin que se percatara el usuario del equipo, con lo quesean considerados una de las más temibles invasiones ilegales en las estaciones de trabajo,servidores y computadoras personales.

Ventanas emergentes/POP-UPS

Son, generalmente, ventanas muy molestas que aparecen al navegar y muestran publicidado información que es difícil de eliminar y que aparece constantemente.

Son una forma en línea de publicidad en el World Wide Web, que aumentan el tráfico de lared o que son también usadas para capturar direcciones de e-mail. Trabaja cuando ciertossitios abren una ventana del buscador para exhibir los anuncios.

La ventana pop-up que contiene un anuncio es generada normalmente por JavaScript, perose puede generar por otros medios también.

17

Una variante en las ventanas pop-up es hacer aparecer el anuncio debajo de la ventanaactiva o en direcciones fuera del área visual, normalmente en la parte inferior derecha, ysuelen aparecer como intentos de abrir una página nueva durante unos milisegundos, hastacargarse y cumplir su cometido, cerrándose inmediatamente, con lo cual el usuario no sepercata cuando surge, sino hasta que cierra su navegación, con lo que difícilmente puedeidentificar junto a que página surgió, sobre todo en aquellas sesiones en que se tienen variosdocumentos abiertos.

Worms o gusanos

Los gusanos informáticos son similares a los virus, pero los gusanos no dependen dearchivos portadores para poder contaminar otros sistemas. Estos pueden modificar elsistema operativo con el fin de auto ejecutarse como parte del proceso de inicialización delsistema. Para contaminar otros sistemas, los gusanos explotan vulnerabilidades del objetivoo utilizan algún tipo de ingeniería social para engañar a los usuarios y poderse ejecutar.

El caso más conocido es el del gusano Blaster que se distribuyo por internet rápidamentegracias a una vulnerabilidad de Windows, que reiniciaba al ordenador al cabo de 1 minuto, eintentaba infectar a una infinidad de computadores cercanos a la maquina (en redes locales)y lejanos (en internet) de forma aleatoria.

Métodos de protección

• Usar sistemas operativos más seguros, mejores y efectivos que windows comoGNU/Linux, Mac OS o FreeBSD.

• Utilizar una cuenta de usuario con pocos privilegios (no administrador) en su equipo,solo utilizar la cuenta de administrador cuándo se deba cambiar una configuración oinstalar un software de confianza. De todas maneras, se debe ser cauteloso con lo quese ejecuta.

• Cada vez que se transfiera un archivo desde o hacia Internet se debe tener laprecaución de revisarlo contra virus, crimeware o malwares, pero lo más importantesaber de dónde proviene.

• Se debe comprobar todos y cada uno de los medios magnéticos (Diskettes, ya endesuso), soportes ópticos (CDS, DVD, Blu-ray) o tarjetas de memoria (SD, MMC, XD,compact Flash), que se introduzcan en el ordenador.

• Comprobar los archivos comprimidos (ZIP, RAR, ACE, CAB, 7z..). • Hacer copias de respaldo de programas y documentos importantes, pueden ser

guardados en un Pendrive, CD, DVD, entre otros medios externos. • No instalar programas de dudoso origen. • Evitar navegar por sitios potencialmente dañinos[27] buscando cosas como

"pornografía", "programas gratis", "mp3 gratis", claves, licencias o cracks para losprogramas comerciales.

• Evita descargar programas, archivos comprimidos o ejecutables, desde redes peer-to-peer ya que no se sabe el real contenido de la descarga.

• Crear una contraseña de alta seguridad.• Mantener las actualizaciones automáticas activadas, como por ejemplo el Windows

Update.

18

• Tener un programa antivirus y un firewall (también llamados cortafuegos) instalados enel ordenador, un anti-espías como SpywareBlaster, Spybot - Search & Destroy, y unfiltrador de IP' maliciosas como el PeerGuardian. que eventualmente también frenatroyanos.

• También es importante tener actualizados estos programas ya que cada día aparecennuevas amenazas.

• Desactivar la interpretación de Visual Basic VBS y permitir JavaScript JS, ActiveX ycookies sólo en páginas web de confianza.

• Seguir las políticas de seguridad en cómputo

19

Instituto Tecnológico de Costa RicaEscuela de Ingeniería en ElectrónicaPrograma de Capacitación en ElectrónicaPrograma de Técnicos en Mantenimiento y Reparación de PC's

Curso de Diagnóstico y VirusInstructor: Ing. William Marín Moreno.

Noticias Noticias del sitio http://www.vnunet.es

Apple soluciona ocho problemas de seguridad enQuickTimeApple ha publicado una nueva versión de QuickTime, la 7.6, que solventa siete problemas de seguridaden sus versiones para Windows y OS X Leopard y Tiger.

Por Pablo Molina - Hispasec [30-01-2009]

Además de publicar un boletín de seguridad adicional para solucionar un fallo en el componenteMPEG-2 de de QuickTime Media Player para Windows, Apple lanza QuickTime 7.6, una nuevaversión que solventa siete problemas de seguridad en sus versiones para Windows y OS X Leopard yTiger.

Las vulnerabilidades solventadas en la nueva versión Quicktime 7.6 son:

• Denegación de servicio y posible ejecución remota de código causada por un desbordamientode búfer basado en heap al intentar procesar un objeto multimedia apuntado por una URL RTSP(Real Time Streaming Protocol).

• * Ejecución remota de código al aprovecharse de un desbordamiento de búfer basado en heapprovocado por el tratamiento erróneo de átomos THKD en un archivo de vídeo QTVR(QuickTime Virtual Reality) especialmente manipulado.

• * Denegación de servicio o ejecución remota de código arbitrario a través de archivos AVIespecialmente manipulados, que podrían causar un desbordamiento de búfer basado en heap.

• * Otro desbordamiento de búfer, debido a un manejo incorrecto de archivos MPEG-2 concontenido de audio en formato MP3, que podría ser aprovechado por un atacante remoto paracausar una denegación de servicio o ejecutar código arbitrario.

• * Denegación de servicio o ejecución remota de código causada por un fallo de corrupción dememoria en Quicktime al manejar los archivos de vídeo codificados con H.263.

• * Desbordamiento de búfer basado en heap que podría ser aprovechado por un atacante remoto

20

para ejecutar código arbitrario por medio de un archivo de vídeo codificado con Cinepak.

• * Ejecución remota de código al aprovecharse de un desbordamiento de búfer basado en heapprovocado por el tratamiento erróneo de átomos jpeg en un archivo de vídeo QuickTimeespecialmente manipulado.

Por otra parte, el segundo boletín de seguridad publicado por Apple informa sobre una vulnerabilidadsolventada en el componente QuickTime MPEG-2 Playback Component para Windows, que podría seraprovechada para ejecutar código arbitrario lo que permitiría comprometer un sistema por completo.

Todos los fallos corregidos son del tipo "Improper Input Validation", es decir, un fallo al comprobar yvalidar las entradas introducidas por un usuario y que, bajo ciertas circunstancias, podríaaprovecharse para ejecutar código arbitrario. Este tipo de fallo encabeza el "Top 25 de los fallos deprogramación más peligrosos" y que podrían ser causantes de problemas de seguridad. Esta lista fuepublicada a principios de año y ha sido elaborada por MITRE y SANS en colaboración con diferentesorganismos oficiales, empresas y universidades.

Recordamos que todas las actualizaciones se pueden instalar a través de las funcionalidades deactualización automática (Software Update) de Apple.

El malware para Mac continúa aumentandoMenos de una semana después de que los investigadores descubrieran un nuevo malware diseñado parausuarios de Mac, se anuncian más.

Por Rosalía Arroyo [27-01-2009]

La compañía se seguridad Intego ha anunciado que el troyano, al que han bautizado comoOSX.Trojan.iServices.B, se ha incluido en copias piratas de Adobe Photoshop CS4 para Mac. Unprograma utilizado para generar un número de serie válido para desbloquear la aplicación de Adobeinstala una puerta trasera en las máquinas que hace que formen parte de un botnet.

Este descubrimiento se produce cuatro días después de que las empresas de seguridad advirtieran deotro troyano que, en esta ocasión, se esconde en copias ilegales de la suite de productividad iWork deApple.

El troyano no es la única amenaza de los usuarios del sistema operativo OS X. Según los investigadoresde Kaspersky se han lanzado dos nuevas aplicaciones que afirman ofrecer protección antimalware a losusuarios de Mac. Los falsos programas antivirus han sido un elemento común en el entorno del PC yparece que ahora son cada vez más comunes en la plataforma Mac.

No hay dudas de que el debate sobre la seguridad en Mac continuará aumentando, con algunosafirmando que es una plataforma mucho más difícil de atacar comparado con Windows y otrosafirmando que es relativamente segura porque es un mercado considerablemente pequeño que hace quesea menos atractivo a los usuarios.

21

Symantec alerta de un nuevo troyano para MacParece ser que alguien está distribuyendo en Internet la suite iWork 09 de Apple añadiendo un troyano al instalador.

Por Rosalía Arroyo [23-01-2009]

La compañía de seguridad Symantec acaba de alertar sobre un nuevo gusano diseñado específicamentepara infectar sistemas Mac. Los creadores de malware se han aprovechado de la popularidad de la suiteiWork 09 de Apple para distribuir en intentet una versión añadiendo un troyano al instalador.

Según informa Symantec, cuando los desarrolladores de software crean un instalador para el Mac, amenudo varios mini instaladores – o paquetes – se ejecutan en una secuencia determinada. Cadapaquete (archivo .pkg) contiene un código específico y un script asegura que el código se coloca en suparte correcta en el disco duro, permitiendo al ordenador utilizar el software. En el caso que nos ocupa,el principal script para instalación fue modificado para que no sólo ejecute los paquetes de software“correctos”, sino que también instala otro paquete, llamado "iWorkServices.pkg," encargado decargar código malintencionado para conectarse a un sistema remoto que permite al equipo atacanteenviar órdenes al equipo infectado para buscar información confidencial en el sistema, realizar unseguimiento de los sitios que visita el usuario en la Web o registrar las teclas pulsadas.

Aunque el equipo de Symantec Security Response ha clasificado al troyano OSX.iWork como unaamenaza de bajo nivel, las posibilidades de este tipo de ataques pueden ser muy importantes porque,con la crisis económica que padecemos, cada vez más personas pueden verse tentadas a piratear elsoftware en vez de pagar por él. Lo que resulta especialmente exasperante es que, a menos que losusuarios cuenten con algún tipo de software para seguridad, nunca van a saber que su Mac se encuentraen peligro, porque los componentes del iWork parecen funcionar con toda normalidad.

El fabricante de seguridad recomienda a los usuarios que tengan cuidado con la procedencia delsoftware, además de aconsejarles que no pirateen. Asímismo sugieren análisis periódicos de los disosduros.

Si quiere descargar la versión de pruebas del iWork sin riesgo, utilice el siguiente enlace.

El spam sigue siendo la gran lacra de InternetUn nuevo informe de Sophos desvela que Estados Unidos sigue siendo, un año más, el principal país emisor de spam, mientras España sube al noveno puesto.

Por Rosalía Arroyo [26-01-2009]

Hace tan sólo cinco años, cuando el spam pasaba de ser una molestia a una verdadera preocupación,Bill Gates, presidente de Microsoft, predijo que el spam sería erradicado en dos años. La predicciónfalló y actualmente no sólo es un recurso de venta, sino que se ha convertido en fuente de malware y“una gran amenaza”, según la empresa de seguridad Sophos.

Los creadores de spam ya no sólo buscan vender más, captar a ese pequeño porcentaje que decidecomprar a través del anuncio, sino que se ha convertido en la herramienta perfecta para infectar losordenadores a a través de sofisticados archivos adjuntos o con enlaces a páginas web infectadas que

22

tienen como fin robar información sensible de los usuarios.

Es más, la evolución del spam, y la creatividad de los spammers, les ha llevado a aprovecharse de lasredes sociales, como ya ha quedado demostrado en Facebook y Twitter el último año. En este sentidorecordamos los 873 millones de dólares que Facebook ganó en un juicio contra un canadiense quebombardeó a millones de miembros de esta red social con mensajes spam.

En su informe, Sophos afirma que entre octubre y diciembre de 2008, USA envió la mayoría del correobasura, en total un 19,8%. China queda en el segundo lugar, superando con creces el spam emitido en2004, seguido de Rusia. En contraste, otros países como Canadá, Japón y Francia, serios emisorescinco años atrás, han desaparecido de esta lista.

España, con el 2,9% del total del spam emitido, sube al 9º puesto, frente al 15º del trimestre anterior,por delante de Reino Unido y Alemania.

El spam se prepara para 'felicitar' San ValentínLas empresas de seguridad advierten a los usuarios que los creadores de spam aprovecharán la celebración de San Valentin para intentar infectar los ordenadores.

Por Rosalía Arroyo [09-02-2009]

Aunque todavía quedan unos cuantos días para que celebremos 'el día de lo enamorados', loslaboratorios McAfee Avert Labs han detectado spam con temática de San Valentín desde el pasado 22de enero, y están aumentando significativamente desde entonces. Actualmente, McAfee Avert Labs hadetectado que entre el 1% y el 2% del total del correo enviado diariamente es spam con esta temática.

“Estoy profundamente enamorado de ti”, “Siempre supe que te quería” y “Me encanta estar contigo” noson sólo mensajes de amor, sino los asuntos que, con más frecuencia, están siendo utilizados por loscreadores de spam. Una vez que el receptor recibe el correo electrónico y lo abre, podrá ver un enlaceque lleva a un sitio Web que contiene malware. La pantalla muestra al receptor de este correoelectrónico una serie de corazones para que elija uno de ellos y haga “clic” en él. Entonces, un archivobinario llamado “meandyou.exe” se descarga e instala en su ordenador.

McAfee Avert Labs también ha informado que el día de San Valentín ha vuelto a desartar losspammers, habiéndose superado los niveles de spam anteriores a la caída de McColo. El spam de enerode este año es el 10% del producido a lo largo del último año, y en unos pocos días se ha convertido enel 20% de los niveles de spam existentes anteriores a la caída de McColo.

“El spam alcanzó el record en sus niveles el pasado marzo, pero es posible que estas estadísticasvuelvan a batirse, ya que los creadores de este tipo de correo no deseado no cesan en la búsqueda denuevas formas de engañar a los usuarios de Internet. No hay duda de que aprovecharán cualquieroportunidad para ello”, afirman desde McAfee.

Kaspersky endurece la lucha contra el spamLa compañía ha desarrollado una tecnología que detecta una imagen de spam sin necesidad de una

23

máquina de reconocimiento.

Por Rosalía Arroyo [06-02-2009]

La empresa de seguridad rusa Kaspersky ha anunciado una tecnología que espera que sea decisiva en lalucha contra el spam. La tecnología puede detectar texto incrustado en imágenes sin necesidad de unamáquina de reconocimiento que necesita un tamaño, estilo y orden de símbolos homogéneos paradetener el correo electrónico no deseado. “Los creadores de spam pueden evitar la deteccióndistorsionando las imágenes”, explica David Emm, consultor de tecnología de Kaspersky Lab.

La nueva tecnología, que se ha patentado con éxito en Rusia, se basa en probabilidades yestadísticas. Las imágenes se archivan como Spam después de un análisis en la capa de los patrones degráficos de palabras y líneas, o un análisis del contenido de las letras y palabras en estos patrones,afirma la compañía.

La tecnología puede detectar técnicas de ofuscación utilizadas normalmente por los spammers,como la deformación o la rotación, y puede detectar textos en virtualmente cualquier idioma.

Emm ha dicho que “cuando los spammers distorsionan las imágenes y colocan un montón de ruido,hacen que sea más difícil para la máquina de reconocimiento detectarlo”.

Encuentran una vulnerabilidad en la beta de Windows 7Un fallo en Windows 7 Beta podría permitir a un atacante esquivar el componente de Control de Cuentas de Usuario en la nueva versión de Windows.

Por Rosalía Arroyo [02-02-2009]

El Control de Cuentas de Usuario (UAC por sus siglas en inglés) está diseñado para supervisar unsistema y notificar al usuario si un programa intenta alternar ese sistema.

Inicialmente diseñado para impedir infecciones de malware, el software ha sido deshabilitado pormuchos usuarios, cansados de los constantes mensajes de advertencia.

Para mejorar el software en Windows 7, Microsoft ha establecido nuevas directrices para el Control deCuentas de Usuario que permiten cambiar los ajustes de Windows, aunque finalmente sí que se necesitauna autorización si se altera el sistema. El problema es que el Control de Cuentas de Usuario estácontrolado a través de los ajustes del sistema por lo que un atacante puede deshabilitar completamentelas protecciones sin que el usuario se de cuenta.

El fallo, puede solucionarse fácilmente cambiando los ajustes para que el usuario tenga unanotificación inmediata si esos ajustes fuerana alterados.

Microsoft publica cuatro boletines de seguridad este mesEn su ciclo habitual de actualizaciones Microsoft anuncia cuatro boletines que afectan a Internet

24

Explorer, Microsoft Exchange Server, Microsoft SQL Server y Microsoft Office.

Por Pablo Molina - Hispasec [10-02-2009]

Si en enero se publicó un sólo boletín de seguridad, este mes Microsoft prevé publicar un total de cuatro actualizaciones el martes 10 de febrero. Dos de ellas, las dedicadas a la versión 7 de Internet Explorer y al servidor Exchange, alcanzan la categoría de críticas, mientras que las otras dos, referentes al servidor de SQL y al software gráfico Visio de Office, están catalogadas como importantes.

Adicionalmente, y como viene siendo habitual, Microsoft publica una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se han publicado actualizaciones de alta prioridad no relacionadas con la seguridad.

Dada la coincidencia de versiones afectadas, se especula con que el boletín dedicado a SQL Server se encarga de solventar una vulnerabilidad reconocida por Microsoft el pasado 22 de diciembre, y de la que se han detectado exploits circulando por la red.

Según se puede apreciar en la descripción de la vulnerabilidad publicada por Bernhard Mueller (SEC Consult) el pasado 12 de diciembre, el fallo estaría causado por un error al comprobar los parámetros en el procedimiento "sp_replwritetovarbin" y podría ser aprovechado para la ejecución remota de código.

Un portavoz de Microsoft ha confirmado que la compañía estaba al tanto de la vulnerabilidad desde el pasado mes de abril y el propio Mueller afirma haber recibido una notificación de Microsoft en septiembre informándole de que el parche estaba listo.

Como es habitual, cada boletín podrá contener un número indeterminado de correcciones de seguridad y hay que señalar que, en cualquier caso, el adelanto que ofrece Microsoft está sujeto a cambios de última hora.

Hispasec Sistemas publicará información detallada sobre los nuevos parches.

25

Mozilla mejora la seguridad de Firefox 3La compañía anuncia una actualización de su navegador que soluciona algunos problemas de seguridady mejora la estabilidad de Firefox 3.

Por Rosalía Arroyo [04-02-2009]

La versión 3.0.6 de Firefox soluciona hasta seis problemas, el peor de los cuales afecta al motor JavaScript y que los desarrolladores han etiquetado como crítico.

La vulnerabilidad, que también afecta al cliente de correo electrónico Mozilla Thunderbird y la suite deInternet SeaMonkey, permitiría a un atacante ejecutar código no autorizado en las máquinas afectadas.

La actualización también mejora cómo los comandos escritos, como los incluidos en Adlock plus, trabajan con los plug-ins, según ha explicado Mozilla.

La actualización se produce al mismo tiempo de anunciarse que la cuota de mercado de Internet Explorer sigue debilitándose. De cada cien internautas, 67,55 utilizan Internet Explorer para conectarse a Internet, lo que supone el séptimo descenso consecutivo del navegador de Microsoft, que en un año ha perdido hasta un 9%. El gran beneficiado en el último estudio vuelve a ser Firefox, que alcanza ya el 21,53% del mercado mundial.

Los virus se propagan más rápido en zonas WiFimuy pobladasLa mayoría de las infecciones causadas se producen en las primeras 48 horas del lanzamiento del software malicioso.

Por Manuel Moreno [27-01-2009]

En las redes WiFi, sobre todo en las áreas urbanas más pobladas, es por donde campan más a sus anchas los virus informáticos.

Esta es una de las principales conclusiones de una investigación realizada por expertos de la Universidad de Indiana en Bloomington (Estados Unidos), que afirman también que la mayoría de las infecciones provocadas por los virus se producen dentro de las primeras 48 horas desde su lanzamiento al ciberespacio.

Para llegar a estas conclusiones, los investigadores de la universidad americana idearon un modelo matemático que demostró que la mayor parte de las personas que se conectan a Internet mediante WiFi son más vulnerables, especialmente en las zonas de población de alta densidad, donde hay más routers inalámbricos "interconectados".

Según los Alessandro Vespignani, jefe de la investigación, la mejor forma de estar protegido es lograr un aumetno del porcentaje de reuters inalámbricos con un alto nivel de encriptación y mejorar la selección de la contraseña y la seguridad.

26

Un fallo en navegadores permitiría ejecutar phishing sin necesidad de emailAparece un nuevo ataque de phishing en el que los malos hackean un site legítimo y plantan un código HTML que simula ser una ventana de alerta de seguridad.

Por Rosalía Arroyo [14-01-2009]

Encontrado en la mayoría de los ordenadores, un error permitiría a los cibercriminales robar las credenciales de gestión bancaria utilizando un nuevo tipo de ataque denominado ‘phishing in-session’. Al menos eso es lo que afirma la empresa de seguridad Trusteer.

El nuevo tipo de ataque ofrece a los hacker una solución al mayor problema al que se enfrentan los phishers actualmente: cómo conseguir víctimas. Un ataque de phishing tradicional se basas en el envío de millones de correos electrónicos que simulan proceder de compañías legítimas como bancos. Muchas veces estos mensajes son bloqueados por programas de filtrado de spam, pero en un ataque phishing in-session, el mensaje de correo electrónico desaparece para ser sustituido por una ventana emergente en el navegador.

Para su funcionamiento los malos hackean un site legítimo y plantan un código HTML que simula ser una ventana de alerta de seguridad. La ventana emergente, o pop-up, pediría a la víctima que introdujera la información de usuario y contraseña, y posiblemente otro tipo de información utilizado por los bancos para identificar a sus clientes.

Para los atacantes la parte dura sería convencer a sus víctimas de que esa ventana emergente es legítima, pero gracias a un fallo en los motores JavaScript de la mayoría de los navegadores más utilizados, hay una manera de hacer que este tipo de ataque parece más verosímil.

Amit Klein, director de tecnología de Trusteer, afirma haber encontrado una manera de identificar si alguien ha accedido a un site a través de una función de JavaScript. Klein no ha querido nombrar la función porque, según él, daría a los criminales una manera de lanzar un ataque, pero lo ha notificado a los fabricantes de navegadores y espera que el fallo se solucione en breve.

Las infecciones en sitios web continuarán aumentandoEl 70% del malware se encuentra en páginas web o sirve para redirigir al usuario a sites comprometidos, según Websense.

Por Rosalía Arroyo [23-01-2009]

Casi tres cuartas partes de los principales 100 sites de Internet incluyen código malicioso o redirigen a los usuarios a sites comprometidos. Al menos eso es lo que se desprende de una nueva investigación realizada por la empresa de seguridad de contenido Websense, que también advierte que el 70% del malware se encuentra en páginas web o sirve para redirigir al usuario a sites comprometidos.

27

Las cifras de este año reflejan un crecimiento del 16% respecto al año pasado en cuanto a la cantidad de sites maliciosos. Los creadores de spam, según la compañía, utilizan cada vez más enlaces que llevan a sites contaminados y campañas de correo electrónico para tentar a los usuarios y evitar los sistemas de seguridad. Websense advierte también que el informe refleja que las cibercriminales se están aprovechando de las ventajas de la Web 2.0 que permite al usuario generar contenido.

Por otra parte el informe muestra un crecimiento en el número de amenazas web. Justo el 90% de los correos electrónicos no deseados en circulación en la segunda mitad de 2008 incluían enlaces a sites de spam o sites maliciosos, lo que supone un incremento de caso el seis por ciento.

Conficker, el virus más propagado en eneroConficker utiliza viejas técnicas de engaño y aprovecha vulnerabilidades en los sistemas operativos no actualizados para lograr infectar los equipos de los usuarios.

Por Rosalía Arroyo [09-02-2009]

La versión inicial de Conficker aprovechó una vulnerabilidad crítica de Windows, ya corregida por Microsoft, como principal método de propagación, pero las versiones posteriores comenzaron a utilizarotros métodos de infección, tales como los recursos compartidos de los equipos y el archivo autorun.inide los dispositivos de almacenamiento extraíbles, que dieron nuevas vías de propagación a esta amenaza.

Según ESET, Conflicker ha sido el virus más propagado en enero. Durante este mes se ha observado la aparición masiva de instaladores falsos que, simulando instalar una supuesta aplicación, habilitaban la ejecución de códigos maliciosos y apuntaban a estafar a los usuarios infectados. Esta tendencia, se havisto reforzada con novedosas técnicas de engaño que logran posicionar las páginas web falsas en los buscadores de forma que el usuario caiga en la trampa y resulte infectado y estafado.

Según Josep Albors, responsable del departamento técnico de Ontinet.com, distribuidor en exclusiva delas soluciones de seguridad de ESET en España, “si los usuarios tuvieran sus sistemas perfectamente actualizados, Conficker no hubiera tenido ningún éxito. Y más aún, si se tiene instalado un sistema de defensa contra códigos maliciosos, una solución integrada como ESET Smart Security, con avanzados sistemas heurísticos, esta amenaza no hubiera tenido más impacto que cualquiera de los miles de nuevos códigos maliciosos detectados diariamente”.

28

Los phishers se vuelven más astutosEl phishing sigue creciendo con sistemas más elaborados y eficaces, con los que consiguen engañar a millones de internautas incautos.

Por Rosalía Arroyo [ 20-04-2009 ]

Burdos inicios que han mejorado

Tras las primeras etapas del phishing y en un momento en que las autoridades intentan erradicar estos fraudes online, los delincuentes se vuelven más audaces y buscan nuevas formas de seguir con sus ciberdelitos.

La gran mayoría del correo electrónico es spam y un porcentaje desconocido del mismo es fraude. El trabajo a gran escala del fraude electrónico hace que los criminales puedan conseguir enormes beneficios aunque sólo un pequeño porcentaje de los usuarios caigan en sus redes.

Normalmente el phishing está relacionado con correos electrónicos falsos supuestamente procedentes de bancos y otras fuentes fiables que tratan de engañar a los destinatarios para que revelen las contraseñas de acceso a sus cuentas y los números de la tarjeta de crédito.

El año pasado se consiguió una gran victoria cuando en Estados Unidos se consiguió cerrar la compañía MoCoLo, tras lo cual la cantidad de spam a nivel mundial descendió más de un 60%.

Pero los correos de spam no sólo tienen que ver con información bancaria, hay otros que ofrecen dietas milagrosas, cartuchos de tinta para impresora increíblemente económico, reunificación de deudas o alargamiento de miembros... Ahora los creadores de spam utilizan una variedad de ordenadores para enviar spam oscureciendo sus orígenes lo que significa que será raro que se produzca otro cierre similar al de MoCoLo. Además, ya no utilizan trucos tan burdos como el de tentarte con premios de lalotería de países lejanos, sino que se opta por un envío de spam basado en la localización de la víctima, que se ve redireccionada a una página web local en la que se está discutiendo un desastre local o tema atractivo y que puede descargar un virus en el ordenador de la víctima.

Curiosamente, los expertos en seguridad no se ponen de acuerdo a la hora de contabilizar el dinero que se está robando pero lo que sí parece cierto es que esta economía sumergida no se está viendo afectada por la crisis, según ha reconocido Luis Fuertes, director de marketing de Symantec.

29

SMiShing, un nuevo tipo de ataque

Lo último en ciberdelincuencia es el SMiShing, ya definido en Wikipedia como un nuevo tipo de delitoque utiliza técnicas de ingeniería social empleando mensajes de texto dirigidos a los usuarios de telefonía móvil. Se trata, en definitiva, de una variante del Phishing para teléfonos móviles.

Una de las primeras tácticas ha sido la de escribir spam que pretende proceder a una fuente fiable, como PayPal. Cuando esta empresa, que pertenece a eBay, supo que los spammers estaban utilizando su nombre colocó una firma digital en sus correos electrónicos y pidió a los proveedores de correo electrónico online como Yahoo o Google, que bloquearan cualquier correo que bajo su nombre no incluyera esta firma digital. Se calcula que se bloquean unos diez millones de correos al mes y desde Paypal afirma que esto en bueno porque si el usuario no recibe el mensaje es difícil que se convierta en una víctima.

El phishing no sólo impacta en los consumidores, en términos de pérdidas generales, sino en la seguridad de Internet y el daño que causa a la marca bajo la cual se esconde el fraude. Los expertos en seguridad afirman que están viendo cada vez más casos de fraude, en el que la víctima entrega su dinero, que de malware, que es software malicioso que, entre otras cosas, recoge número de tarjetas de crédito y contraseñas para los ladrones que posteriormente se venden en el mercado negro. Las personas que compran esta información la utilizan para hacer compras, conseguir dinero en efectivo o crear identidades falsas.

Los sistemas operativos basados en Linux crecenun 23,4% en 2008

• Fecha 28-08-2009 • De Mario Alberto Sánchez

A pesar de que se espera una contracción de sucripciones en 2009, se prevé que se mantengan niveles de crecimiento cercanos al 16,9% anual hasta 2013.

Buenas noticias para la comunidad de software basado en el código abierto. Los sistemas operativos Linux crecieron un 23,4% entre 2007 y 2008. Esta tendencia se mantendrá con incrementos del 16,9% anual, según un estudio de IDC.

De confirmarse los pronósticos, este tipo de software alcanzará por primera vez 1.000 millones de dólares en ingresos en 2012, consiguiendo 1.200 en 2013. Mientras tanto, las suscripciones al sistemaoperativo Linux se contraerán en 2009, aunque se espera que el comportamiento cambie de cara a 2013.

A su vez, se prevé que las implementaciones no remuneradas de Linux crezcan más rápido que los nuevos abonados hasta 2013. El total combinado del servidor de suscripciones a este tipo de sistema

30

operativo y el despliegue de las versiones no remuneradas se espera que muestren una tasa compuesta de crecimiento anual (TACC) del 1,1% en el periodo de tiempo comprendido entre 2008-2013, una cifra baja debido a la contracción prevista para 2009.

“La dinámica observada es fascinante. La convergencia de la difícil situación económica, la maduración del software de virtualización de la empresa y el uso cada vez mayor de los despliegues de réplica de los sistemas operativos del servidor Linux está dando lugar a un cambio en el éxito del mercado cada vez más definido por la base instalada más que por el número de suscriptores nuevos o despliegues realizados”, explica Al Gillen, vicepresidente de programas de software de sistemas de IDC.

Otras conclusiones del informe destacan que los mayores ingresos, nuevas suscripciones e importancia en la dinámica global del mercado los consiguen fabricantes como Red Hat y Novell, en términos operativos, con valores que oscilan entre el 43,3% y el 94,5% a nivel mundial.

“Hemos encontrado que más clientes están viendo Linux no remunerado como una solución viable paradeterminadas necesidades críticas de negocio. Este fenómeno no es exclusivo de Linux ya que la misma tendencia se observa en los entornos operativos de Windows”, concluye Al Gillen.

Los trabajadores son los culpables de la mayoríade ataques a las empresas

• Fecha 26-08-2009 • De Mario Alberto Sánchez

Los problemas de seguridad siguen afectando a las empresas. Esta vez lo hacen desde su propia estructura. Los incidentes involuntarios de seguridad de una compañía provocados por sus trabajadores son más frecuentes y dañinos que los ataques internos intencionados, según un estudio de IDC.

“La diversidad de una plantilla provoca que sea su mayor amenaza de seguridad. Independientemente de si el riesgo es intencionado o no, el riesgo es real”, explica Chris Christiansen, program VP, security products de IDC.

El 52% de las organizaciones encuestadas califica sus amenazas internas en seguridad como meros accidentes, mientras que el 19% cree que son intencionadas, el 26% piensa que pueden darse ambos casos y el 3% restante se muestra indeciso. Sin embargo, el 82% no tiene claro si los incidentes en su área de seguridad son accidentales o intencionados.

“La seguridad es responsabilidad de todos no sólo del departamento de seguridad. Se debe adoptar una estrategia integral que mitigue los riesgos internos tanto accidentales como intencionados”,afirma Christopher Young, vicepresidente de RSA.

Este estudio indica también el volumen de incidentes internos que las organizaciones están experimentando. En el último año, los encuestados han reconocido 6.330 incidentes de pérdida de datos

31

involuntaria mediante negligencias de los propios trabajadores, 5.907 ataques de malware/spyware dentro de la empresa y 5.831 incidentes creados por privilegios excesivos y/o derechos de control de accesos.

Los resultados del informe señalan la voluntad de casi 40% de las empresas de aumentar el gasto en iniciativas para reducir los riesgos internos en seguridad en el próximo año mientras que el 6% lo disminuirá.

Twitter continúa siendo vulnerable a los ataques

La seguridad de Twitter sigue en entredicho, a pesar del intento del site de microblogging por paliar todas sus vulnerabilidades. Un desarrollador de software ha advertido que los usuarios siguen estando expuestos a un ataque que podría permitir a un hacker hacerse con sus cuentas.

Este error ha sido descubierto por James Slater quien afirma que la vulnerabilidad permite a un código malicioso JavaScript insertarse en los tweets añadiendo el código a un campo de la API para programadores de Twitter.

Al integrar los eslabones de tweets, los desarrolladores pueden dirigir a los usuarios a sus páginas web.

o que demuestra esta advertencia es que la API de Twitter no contiene un filtro de URL maliciosas. “Twitter ha cometido uno de los errores más básicos en el desarrollo de aplicaciones web: nunca se puede confiar ciegamente en los datos que proceden del exterior”, explica James Slater.

Aunque Twitter afirmó haber solucionado el problema originado por los ataques que sufrió, la revisión no aborda el verdadero problema.

“En unos minutos, alguien con un poco de conocimientos técnicos, puede hacer una aplicación de Twitter y comenzar a enviar tweets, lo que podría permitirle introducirse en la cuenta de cualquier usuario”, afirma James Slater.

Por el momento, el sitio no se ha pronunciado. Hasta el momento, Slater aconseja no admitir a cualquier persona que no se conozca o no sea de absoluta confianza.

32

Los usuarios afectados por malware que roban la identidad repunta en época de crisis económica

33

19/08/2009. (http://www.pandasecurity.com)Según datos registrados por PandaLabs, el número de usuarios afectados por todo tipo de malwareencaminado al robo de identidad ha aumentado un 600%, comparado con el mismo período del año2008. En su mayoría, son troyanos, pero también encontramos numerosos ejemplares de phishing,gusanos, spyware, etc.

Según Luis Corrons, Director Técnico de PandaLabs, “quizá uno de los motivos de este aumento es lacrisis económica, junto al gran negocio que supone el vender en el mercado negro datos personales deusuarios, como números de tarjetas de crédito, cuentas de paypal o eBay, etc. Además, hemos notadoun gran aumento de los vectores de distribución e infección de este tipo de malware, como las redessociales.”

A modo de ejemplo, en PandaLabs se reciben diariamente unos 37.000 ejemplares de nuevos virus,gusanos, troyanos y otro tipo de amenazas de Internet. De éstos, el 71% son troyanos, en su mayoría losllamados bancarios o encaminados a conseguir datos de tarjetas de crédito o contraseñas de servicios debanca online, de tiendas, etc. O, lo que es lo mismo, PandaLabs ha recibido de enero a julio de 2009 11millones nuevos de amenazas, de las cuales casi 8 millones son ejemplares únicos de troyanos. Estacantidad contrasta claramente con la media de 51% de troyanos nuevos que recibíamos en PandaLabsen el año 2007, por ejemplo.

Además, los hackers han buscado tanto fuentes alternativas de financiación como modos de difusiónnovedosos. Por ejemplo, cuando antes el malware enfocado al robo de identidad iba dirigido casiexclusivamente a llevar a los usuarios a introducir su login y password en su banco online, ahoraintentan engañar a sus víctimas llevándoles a cualquier plataforma o sitio online donde o pueden tenersus datos bancarios almacenados o pueden introducirlos en algún momento.

Este es el caso de grandes crecimientos en ataques phishing especialmente dirigidos a plataformas depago (tipo Paypal), donde los usuarios suelen tener almacenados sus datos bancarios; tiendas onlinepopulares (como Amazon); sitios de subastas online (como eBay), e incluso portales de ONGs donde sesolicitan donaciones para proyectos de carácter humanitarios.

Y así como antes el correo electrónico era casi en exclusiva el método para llegar a sus víctimas, ahorautilizan otros métodos igual o más efectivos, como:

- Distribución de mensajes a través de redes sociales con URLs falsas, como Twitter o Facebook- Clonación de páginas web consiguiendo que aparezcan en los primeros resultados de búsqueda por palabras clave en los motores más populares- Envío de mensajes SMS a teléfonos móviles- Infectando el ordenador con spyware que enseñan a los usuarios mensajes alarmantes buscando llevarles a webs falsas (como es el caso de los falsos antivirus)

El uso de mensajes usando ganchos sociales y populares es el toque de gracia que finalmente aplican asus creaciones para conseguir que los usuarios piquen.

Una vez que se hacen con los datos de tarjetas de crédito o bancarias, pueden realizar dos acciones:bien realizar compras con la numeración, sin que el usuario sea consciente hasta que le llega el cargo albanco; o bien vender en el mercado negro dicha numeración a un precio más que razonable (unos 3 €).

¿Qué pueden hacer los usuarios para no convertirse en víctimas? 34

35

Cuidado con los falsos antivirus

Hace algunos años, podíamos tener nuestra PC a resguardo de las amenazas informáticas instalando

un antivirus. Por desgracia, en el último tiempo han crecido la cantidad y variedad de agentes de

infección, haciendo más complicada esta tarea.

Esta proliferación de códigos y programas dañinos nos obligan a tener varias aplicaciones para

defendernos o un sistema integral que pueda actuar contra la variedad de malware que existe en la

actualidad.

A estos factores hay que sumarles la necesidad de tener el sistema al día con las últimas

actualizaciones y los programas de protección y detección con las últimas definiciones para lograr

mayor seguridad.

Una de las alarmas que se ha encendido en este último tiempo tiene que ver con una nueva

modalidad de amenaza: los falsos antivirus y anti-spyware.

Para comprender los peligros a los que estamos expuestos en primer lugar debemos saber a qué nos

referimos cuando hablamos de malware.

¿Qué es el malware?

El término malware puede aplicarse a diferentes tipos de amenazas que buscan explotar las

vulnerabilidades que tiene un sistema. Dentro de esta categoría se incluyen aplicaciones o códigos

que atacan a una computadora y que pueden provenir de un soporte físico, una red o desde Internet.

Algunos ejemplos de malware son los virus, los gusanos (worms), los programas adware y los

troyanos.

Los virus informáticos son agentes infecciosos que pueden dañar archivos y hacer que el sistema

funcione de manera inadecuada.

36

Los gusanos tienen la capacidad de esconderse en la memoria de la computadora y expandirse,

colapsando conexiones de red e Internet y haciendo que todo funcione más lento. Aprovechan

vulnerabilidades del sistema operativo, por tal motivo es importante contar con las últimas

actualizaciones de seguridad.

Los troyanos, cuyo nombre está relacionado con la conocida historia del Caballo de Troya, son

intrusos informáticos que se introducen en nuestra computadora y que pueden poner en riesgo la

privacidad de nuestra información o permitir que un usuario malintencionado logre el control de

algunas características de nuestro sistema de manera remota (por ejemplo a través de Internet).

Los spyware son aplicaciones que “husmean” la información que está en nuestro equipo. En algunos

casos lo hacen para obtener direcciones de e-mail, que luego son usadas para enviar publicidad. En

otros casos pueden obtener información aún más delicada, que exponen a un riesgo mucho mayor

todo lo relacionado con nuestra privacidad. Estos agentes espía, pueden ingresar a la PC por medio

de otras aplicaciones o acompañados por troyanos y virus.

El adware es una aplicación que muestra publicidad y que suele acompañar a otros programas. Si

bien esto puede hacerse, en algunas oportunidades, bajo el conocimiento del usuario, el problema

radica en los casos en los cuales se recoge información sin consultar.

También pueden ser fuente de avisos engañosos. Por lo general los programas adware tiene la

capacidad de conectarse a servidores en línea para obtener publicidades y enviar la información

obtenida. Cabe aclarar que no toda aplicación que muestra algún tipo de publicidad incluye adware y

esto, en muchos casos, se ha transformado en una controversia para determinar cuando un elemento

se encuadra dentro de estas características.

¿Qué son los falsos antivirus?

En un momento en el cual la informática se expande a una mayor cantidad de usuarios, también se

incrementan los engaños que circulan por Internet.

37

En este último tiempo se ha extendido la modalidad de ofrecer falsos antivirus con el objeto de

introducir malware en el equipo del usuario que acepta este engaño, creyendo que está protegiendo

su sistema.

Es muy importante conocer la procedencia de una aplicación antes de descargarla e instalarla en

nuestra PC. Los ejecutables de fuentes dudosas son una de las vías más comunes de infección.

Dentro de este marco, las cifras demuestran un importante crecimiento del adware en lo que va del

presente año. El adware, subió de 22,40% en el segundo trimestre a 31,05% en el tercero, según lo

que informa PandaLabs en su boletín

(http://www.pandasecurity.com/spain/emailhtml/oxygen/041008_ESP_interior.htm). Esa misma

información señala el auge de los falsos antivirus como una de las principales razones por las cuales

este problema está tomando mayor impulso.

El engaño que realizan los falsos antivirus se produce cuando realizan una revisión del sistema y

localizan infecciones que en realidad no existen. Allí es cuando se ofrece acceder a una versión paga

para limpiar el equipo, que no está infectado, al menos de lo que informa el programa falso.

En la actualidad el adware es el código que infecta a una mayor cantidad de computadoras. Lo siguen

otras amenazas como troyanos y gusanos informáticos.

¿En qué software puedo confiar?

Ante esta realidad, se nos plantea el dilema de que software son confiables y cuáles no.

A la hora de instalar un programa en nuestra PC es importante optar por software original. Si

descargamos una aplicación desde Internet es importante hacerlo desde sitios reconocidos.

38

Luego de la descarga, cuando ejecutamos el archivo .exe para realizar la instalación, Windows nos

muestra una ventana de advertencia. Allí podremos ver los datos del archivo y del fabricante.

En cuanto a la seguridad de nuestro equipo, debemos optar por antivirus y centros de seguridad de

empresas reconocidas que respalden el funcionamiento del software que brindan y que además

ofrezcan actualizaciones periódicas de sus productos para poder estar al día ante las amenazas que

circulan.

Las siguientes son aplicaciones o paquetes de aplicaciones para poder resguardar nuestro sistema:

- Panda Antivirus Pro 2009: ofrece protección contra todo tipo de malware (virus, spyware, troyanos,

rootkits y bots). Cuenta con protección proactiva y tiene la capacidad de detectar nuevas variantes de

malware. Además ofrece protección contra phishing y troyanos que buscan datos de cuentas

bancarias. Desde el siguiente enlace se puede comprar u obtener una versión de evaluación del

producto: http://www.pandasecurity.com/argentina/homeusers/solutions/antivirus/.

39

- Norton Antivirus: es uno de los más conocidos sistemas antivirus. Protege el sistema de virus,

gusanos, software espía, bots y otras amenazas. Permite realizar análisis programados y

personalizados. Para más información del producto ingresar a:

http://www.symantec.com/es/mx/norton/antivirus.

- ESET NOD32 Antivirus: Es una herramienta para proteger al sistema de una gran variedad de

amenazas informáticas. Como ventaja se puede decir que consume pocos recursos del sistema. Este

producto cuenta con una versión de evaluación por 30 días que se puede descargar ingresando a:

http://www.eset-la.com/download/index.php.

- Microsoft OneCare: es un servicio de protección contra diversas amenazas informáticas, tales como

virus y archivos espía. Se puede probar por 90 días accediendo a:

http://onecare.live.com/standard/es-es/install/install.htm.

Kaspersky Anti-Virus: brinda protección contra diferentes tipos de malware. Puede realizar verificación

sobre archivos, e-mail y trafico de Internet. Además puede hacer verificaciones preventivas y escaneo

sobre las vulnerabilidades del sistema operativo y las aplicaciones. Se puede obtener una versión de

prueba ingresando a: http://www.kaspersky.com/anti-virus_trial.

40

RogueRemover: es una aplicación que puede buscar programas que estén instalados en la PC y

promueven engaños. Es una muy buena opción para quitar del sistema antivirus y antispyware falsos.

Se puede obtener una versión gratuita ingresando a: http://www.malwarebytes.org/rogueremover.php.

41

Instituto Tecnológico de Costa RicaEscuela de Ingeniería en ElectrónicaPrograma de Capacitación en ElectrónicaPrograma de Técnicos en Mantenimiento y Reparación de PC's

Curso de Diagnóstico y VirusInstructor: Ing. William Marín Moreno.

Conficker

De Wikipedia, la enciclopedia libre

Conficker, también conocido como Downup, Downandup y Kido, es un gusano informático queapareció en octubre de 2008, que ataca el sistema operativo Microsoft Windows. El gusano explota unavulnerabilidad en el servicio Windows Server usado por Windows 2000, Windows XP, Windows Vista,Windows Server 2003, Windows Server 2008, y el beta de Windows 7.

Fue bastante extendida la etimologíadel nombre del virus como uncalambur alemán, ya que"conficker" se pronuncia en alemáncomo la palabra inglesa "configure"(configuración), y la palabraalemana ficker es un equivalenteobsceno de la palabra castellanajoder, por lo que conficker seríacomo programa que estropea laconfiguración,aunque en un sitio deMicrosoft se explica que el nombreproviene de seleccionar partes delun dominio trafficconverter.biz queaparece en su código:

trafficconverter.biz =>(fic)(con)(er) => (con)(fic)(+k)(er) => conficker.

Operación El virus se propaga a sí mismo principalmente a través de una vulnerabilidad del desbordamiento debúfer del servicio Server de Windows. Usa una solicitud RPC especialmente desarrollada para ejecutarsu código en el computador objetivo.[7]

42

Cuando ha infectado un computador, Conficker desactiva varios servicios, como Windows AutomaticUpdate, Windows Security Center, Windows Defender y Windows Error Reporting. Luego se contactacon un servidor, donde recibe instrucciones posteriores sobre propagarse, recolectar informaciónpersonal o descargar malware adicional en el computador víctima.El gusano también se une a sí mismoa ciertos procesos tales como svchost.exe, explorer.exe y services.exe.

Impacto y reacción Recompensa El 13 de febrero de 2009 Microsoft ofreció una recompensa de US$250,000 a quien entregarainformación que llevara al arresto y encarcelamiento de los criminales tras la creación del virus.

Contagio mundial El virus había contagiado el 6% de las computadoras del mundo para marzo de 2009, un 8% enAmérica latina, y en Argentina llegó al 25% de todo el malware propagado durante enero.Sin embargo,y aunque existen variantes que son capaces de crear 50.000 URL falsas para propagarse, el número decontagiados comenzó a decrecer.

Investigadores de la Universidad de Michigan comenzaron una investigación en marzo de 2009 paradescubrir al caso cero, el primer infectado con el virus, usando sensores darknet, e intentar localizar asus creadores.

El 26 de marzo se anunció un posible ataque masivo para el 1 de abril de 2009, el día de los inocentesestadounidense.

Parcheado y eliminación El 15 de octubre de 2008 Microsoft lanzó un parche (MS08-067) que arregla la vulnerabilidad de laque se aprovecha el virus. Existen herramientas de eliminación de Microsoft, ESET,Symantec,Kaspersky Lab, TrendMicro, mientras que McAfee sólo puede eliminarlo a través de un escaneo bajocon glam demanda. Los parches entregados por Microsoft son aplicables a Windows Vista, WindowsXP que posea Service Pack 2 ó 3 y para Windows 2000 SP4, pero no ha lanzado parches para versionesanteriores de Service Pack, pues el soporte para estas versiones ha expirado. Dado que puedepropagarse a través de memorias USB que activen un Autorun, es recomendable deshabilitar estacaracterística modificando el Registro de Windows.

Visitar: f-secure.com, secureworks.com, microsoft.com o algunos otros sitios de seguridad. Si obtiene"page cannot be displayed" posiblemente esté infectado.

Aliases • Win32/Conficker.A (CA) • W32.Downadup (Symantec) • W32/Downadup.A (F-Secure) • Conficker.A (Panda) • Net-Worm.Win32.Kido.bt (Kaspersky) • W32/Conficker.worm (McAfee) • Win32.Worm.Downadup.Gen (BitDefender) • Win32:Confi (avast!) • WORM_DOWNAD (Trend Micro) • Worm.Downadup (ClamAV)

43

44

Antivirus

45

46

47

48

49

50

51

52

53

54

55

56

57

58

Instituto Tecnológico de Costa RicaEscuela de Ingeniería En Electrónica.

Programa de Técnicos en Mantenimiento y Reparación de PC´s

Curso: Diagnóstico y Virus Instructor: Ing. William Marin Morenowmarin@itcr.ac.cr.

SmitFraud.ver. 07_08rev. 11_08

SmitFraud o W32/SmitFraud es un tipo de malware/spyware que se instala en el computador(víctima), con o sin el consentimiento del usuario, utilizando adware (detectado como CWS.YEXE).La mayoría de las veces es instalado por el mismo usuario, al descargar programas ilegítimos utilizandoredes p2p (peer-to-peer) como Kazaa, Bittorrent o LimeWire. Otras veces se instala al descargar falsoscodecs de audio o video como BrainCodec, PCodec o VideoKeyCodec. También se puede encontrarempotrado en ciertos programas como iVideo o inclusive en archivos de música descargados de p2p(...el que tenga entendimiento, que entienda...).

SmitFraud, infecta un DLL de Windows(WININET.DLL) con el virus W32/Smitfraud.A eintercepta todas las llamadas a una función para asíregistrar las páginas web visitadas por el usuario einstalar un programa sin consentimiento del usuario, ytípicamente cambia el fondo de escritorio por la“pantalla azul de la muerte” . La DLL (Librería deEnlace Dinámico) infectada intercepta todas lasllamadas a la función HttpSendRequest, con lo que el spyware es capaz de registrar las páginas webvisitadas por el usuario y enviar la información a un servidor, así como descargar y ejecutar un archivoque instala un supuesto programa antispyware, de forma oculta y sin consentimiento del usuario.

Por otro lado se empezarán a recibir falsas alertas sobre infecciones con virus, que generalmente semuestran con un ícono parecido al símbolo de radio actividad mostrado en la barra de tareas cerca delreloj en la esquina inferior derecha de la pantalla.

59

Al presionar sobre la falsa alerta, aparecerá un falso programa antivirus “sin registrar”, que al serejecutado alertará de la presencia de virus en el computador, pero para poder ser eliminados se debeadquirir la licencia del falso antivirus.

Remover SmitfraudProgramas como Spybot Search an Destroy y muchos antivirus y antiSpywaredetectan el smitfraud pero no lo pueden remover. En otras variantes, los

60

archivos core.sys y core.cache.dsk que se encuentran en la carpeta C:\Windows\System32\Drivers juntocon sus correspondientes llaves del registro producen anuncios pop-up haciendo referencia al falsoantivirus que los bloqueadores de pop-ups no pueden bloquear, dado que los archivos y llaves deregistro mencionados son cargados en RAM mucho antes que finaliza el proceso de arranque.

Una herramienta popular para poder remover la amenaza se llama SmitFrauFix1 y permite remover unagran cantidad de variantes del smitfraud, como lo son: AdwarePunisher, AdwareSheriff, AlphaCleaner,AntiSpyCheck, Antispyware Soldier, AntiVermeans, AntiVermins, AntiVerminser, AntiVirGear, AntivirusGolden, AVGold,Awola, BraveSentry, IE Defender, MalwareCrush, MalwareWipe, MalwareWiped, MalwaresWipeds, MalwareWipePro,MalwareWiper, PestCapture, PestTrap, PSGuard, quicknavigate.com, Registry Cleaner, Security iGuard, Smitfraud,SpyAxe, SpyCrush, SpyDown, SpyFalcon, SpyGuard, SpyHeal, SpyHeals, SpyLocked, SpyMarshal, SpySheriff, SpySoldier,Spyware Vanisher, Spyware Soft Stop, SpywareLocked, SpywareQuake, SpywareKnight, SpywareRemover, SpywareSheriff,SpywareStrike, Startsearches.net, TitanShield Antispyware, Trust Cleaner, UpdateSearches.com, Virtual Maid, Virus Heat,Virus Protect, Virus Protect Pro, VirusBlast, VirusBurst, VirusRay, Win32.puper, WinHound, Brain Codec, ChristmasPorn,DirectAccess, DirectVideo, EliteCodec, eMedia Codec, EZVideo, FreeVideo, Gold Codec, HQ Codec, iCodecPack,IECodec, iMediaCodec, Image ActiveX Object, Image Add-on, IntCodec, iVideoCodec, JPEG Encoder, Key Generator,LookForPorn, Media-Codec, MediaCodec, MMediaCodec, MovieCommander, MPCODEC, My Pass Generator,NetProject, Online Image Add-on, Online Video Add-on, PCODEC, Perfect Codec, PowerCodec, PornPass Manager,PornMag Pass, PrivateVideo, QualityCodec, Silver Codec, SearchPorn, SiteEntry, SiteTicket, SoftCodec, strCodec, SuperCodec, TrueCodec, VideoAccess, VideoBox, VidCodecs, Video Access ActiveX Object, Video ActiveX Object, Video Add-on,VideoCompressionCodec, VideoKeyCodec, VideosCodec, WinAntiSpyPro, WinMediaCodec, X Password Generator, XPassword Manager, ZipCodec...

Nota: debe tenerse mucho cuidado de descargar la utilidad (y en general TODO lo que se descargue deInternet) directamente de la página del autor, caso contrario se corre el riesgo de descargar un fix“infectado” con algún otro tipo de malware.

Práctica

1. Descargue la última versión de SmitFraudFix del enlace que aparece al final de la página.2. Ejecute la utilidad y luego seleccione la opción #1 para crear un reporte de los archivos

infectados (el reporte generalmente se almacena en C:\rapport.txt)3. Reinicie el PC en "modo seguro" (a prueba de errores) 4. Ejecute nuevamente SmitfraudFix.exe

1 http://siri.geekstogo.com/SmitfraudFix.php

61

5. Seleccione la opción #2 (clean) y espere a que la utilidad elimine los archivos infectados.6. Se abrirá una ventana con la siguiente pregunta:"Registry cleaning - Do you want to clean the

registry?" (¿Desea limpiar el registro?)

Pulse sobre la tecla "Y" (Yes) para confirmar que sí y pulsa ENTER. Puede que durante el proceso el fondo de Escritorio desaparecerá. Esto es normal, ya que durante este proceso se elimina el la pantalla azul de la muerte que sustituye el fondo de escritorio.

7. A continuación se verificará si el archivo wininet.dll se encuentra infectado, y en casoafirmativo se le preguntará que si desea restaurarlo.

8. El computador se reiniciará para terminar el proceso de limpieza. Si no se reiniciaraautomáticamente, reinícielo manualmente

9. Después de reiniciar, se generará un nuevo archivo "rapport.txt", normalmente en el directorioraíz C:\, que te informará de los archivos y claves del registro relacionados con SmitFraud yvariantes que han sido eliminados.

62

10. Opcional: si se desea, se puede seleccionar la opción #3 para restablecer la zona de confianzadel explorador de internet.

Referencias:http://www.2-viruses.com/smitfraudfix-tutorial.htmlhttp://www.smitfraud.net/http://www.safer-networking.org/es/spybotsd/index.htmlhttp://en.wikipedia.org/wiki/Smitfraud

This document is licensed under the Attribution-NonCommercial-ShareAlike 3.0 Unported license,available at http://creativecommons.org/licenses/by-nc-sa/3.0/.

63

Instituto Tecnológico de Costa RicaEscuela de Ingeniería En Electrónica.

Programa de Técnicos en Mantenimiento/Reparación de PC´s

Curso: Diagnóstico y VirusInstructor: Ing. William Marin Moreno

Spybot Search and Destroyv09/08_rev11_2008

http://www.infospyware.com/http://www.safer-networking.org

Las nuevas versiónes de "Spybot Search & Destroy" incorporan numerosos cambios y mejoras en su lucha diaria contra el software espía, algunos de ellos realmente importantes tanto para los usuarios sin conocimientos en informática como para los experimentados.

Primera ejecuciónLa primera vez que inicie Spybot-S&D aparecerá un Asistente, unapequeña ventana que le guiará en sus primeros pasos. Le da la posibilidadde agregar o quitar los iconos que haya podido crear durante lainstalación, por ejemplo. Consideremos que está de acuerdo con ello ycontinúa en la página siguiente.

Si usa un servidor proxy con Internet Explorer, Spybot-S&D le indicará laexistencia del proxy, y aparecerá también un botón que le dará laoportunidad de usarlo con Spybot-S&D. Si el campo de texto está enblanco, no necesita hacerlo, pero en la mayoría de los casos apareceráaquí una dirección de internet y deberá importar esta configuración delproxy.

La próxima página tiene que ver con lasactualizaciones. Es muy importante mantener al día elprograma. Los dos botones que aparecen en esta páginarealizarán las actualizaciones. Si desea hacerloposteriormente, use la sección Spybot S&D /Actualizar.

La última página del asistente le preguntará si desealeer el archivo de ayuda. Parece que ya lo está haciendo:-)

AnálisisDespués de terminar el tutorial, se encontrará en la

64

página Configuración o Spybot S&D. Como las opciones configuración predeterminadas están bien porel momento, olvidémonos de ellas y hagamos el primer análisis.

La parte izquierda del programa tiene una barra de navegación que puede llevarle a todas las funcionesdel programa. La primera sección aquí (el botón superior) se llama Spybot-S&D y le lleva a la páginaprincipal. Ahora mismo, verá solamente una lista vacía y una barra de herramientas en la parte inferior.El primer botón en esa barra de herramientas se llama Analizar problemas .

Ese es el botón que debe pulsar para iniciar el análisis. Relájese después de pulsarlo y observe elprogreso del análisis.

Interpretación de los resultados

Llegado este punto podría ir directamente alúltimo punto y eliminar los resultados. En lugarde ello, le recomendamos que antes mire condetenimiento todo lo que Spybot-S&D hadetectado.

Lo primero que debe saber es distinguir entrelas entradas rojas, que representan softwareespía y problemas similares, y las entradasverdes, que son registros de uso.

Para los registros de uso, su eliminación no escrítica, sino que depende de sus preferenciaspersonales.

Ignorando los registros de uso, debería observar las entradas rojas que indican los verdaderosproblemas. Aunque puede confiar en que hemos elegido estos problemas usando criterios estrictos,puede comprobarlo seleccionando con el ratón cada producto y leyendo la información que verá en elpanel derecho (pulsando la pestaña con las flechas).

Decisiones sobre las excepcionesTodos los problemas indicados en rojo están considerados como amenazas reales que debería tener en cuenta. Pero mientras lee las descripciones de los productos puede que todavía decida mantener una amenaza o registro de uso. ¿Quizás no desea eliminar la lista de documentos de Word usados recientemente?. Llegado ese momento tiene tres opciones:

• Puede decidir ignorar todos los registros de uso. En ese caso deberá abrir la página Módulos en la sección Configuración del programa, y desactivar los Registros de uso .

• O, si desea mantener todos los registros de un producto en concreto, simplemente haga clic con el botón derecho en ese producto y agréguelo a la lista de exclusiones.

• Finalmente, si desea conservar sólo un archivo, también es posible de la misma manera.

Eliminación de las amenazas encontradas

Llegado este momento debería conocer el significado de todo lo que ha encontrado. Es el momento de

65

usar el botón Solucionar problemas.

Cuando comience a pensar en eliminar también los registros de uso puede que piense que marcar unapor una todas las entradas verdes es muy laborioso. Hay una sencilla razón para ello: forzar a que losprincipiantes vean todos los resultados. Una vez que ya sabe con seguridad lo que está haciendo, hayun botón oculto para Seleccionar todos los objetos en la página de configuración (sólo cuando se hayainiciado el programa en modo avanzado).

Inmunizar el Sistema.

A partir de la versión 1.2, Spybot-S & Dle permite inmunizar su ordenador frentea algunos programas espía. En estemomento ofrece tres posibilidades deinmunidad:

Inmunidad frente a ActiveX malignosen Internet Explorer

De forma parecida a SpywareBlaster deJavaCools, le permite modificar laconfiguración interna de InternetExplorer para bloquear la instalación de software espía conocido y otras amenazas similares. Spybot-S&D es capaz de bloquear las entradas de todos ellos que se encuentra en su base de datos. Si quierebloquear algunos de forma individual debería instalar SpywareBlaster.

Bloqueo de descargas malignas en Internet Explorer

Este es un segundo nivel de protección para IE. Mientras que la Inmunidad frente a ActiveX bloquealos instaladores según su identificador ActiveX, este bloquea cualquiera que pudiese llegar segúndiferentes aspectos.Puede ver un registro de los instaladores que han sido bloqueados en la sección Herramientas /Residente.

Protecciones adicionales recomendadas

Con cambios muy pequeños recomendados para hacer que su sistema sea un poco más seguro.Bloquear la escritura del archivo de hosts evitará que la mayoría de los modificadores del navegador(incluso los desconocidos) provoquen algún daño. Bloquear el acceso a la configuración de IE evitaráque otros usuarios de su ordenador modifiquen sus preferencias.

La novedad en la versión 1.5 de SpyBot es la incorporación del nuevo sistema de inmunización paraMozilla Firefox al igual que mejorada la inmunidad para Opera eh IE-7

66

Archivo de hosts

El archivo de hosts puede describirse como una libreta de direcciones. Aunque el usuarionormal accede a otros ordenadores en internet usando nombres (por ejemplo,security.kolla.de), a un más bajo se accede a los ordenadores mediante su direcciónnumérica. Puede que ya haya visto estas direcciones numéricas. Tiene un formato comopor ejemplo 127.0.0.1.

Cada vez que usted intenta acceder a otro ordenador usando su nombre, su ordenadorbusca su dirección en una libreta de direcciones. En primer lugar busca en la libreta dedirecciones local (el archivo de hosts), y sólo si no la encuentra allí la busca en una granlibreta de direcciones en internet.

Así, si desea bloquear un sitio de internet le bastará con redirigir el nombre del sitio haciaun lugar donde no haya nada. Este lugar podría ser su propio ordenador, por ejemplo. Ladirección mencionada antes 127.0.0.1 es una dirección que siempre señala hacia su propioordenador local. Agregando una entrada a su archivo de hosts (su libreta de direccioneslocal) que redireccione un sitio publicitario hacia su ordenador conseguirá engañar a sunavegador de forma que crea que el sitio publicitario se encuentra en su propia máquina.Como su ordenador no distribuye anuncios, el navegador no obtendrá el anuncio y, portanto, no lo mostrará.

Otra uso del archivo de hosts es para acceder a ordenadores que todavía no aparecen enninguna libreta de direcciones. Por ejemplo, si tiene una red local no encontrará lasdirecciones de las máquinas de su red en ninguna libreta de direcciones de internet aunquesólo sea por lo caro que resultaría que apareciesen allí. Así que puede añadirlas a su libretade direcciones local (su archivo de hosts).

Uso del archivo de hosts en Spybot-S&D

Spybot-S&D puede agregar una lista de páginas web conocidas por su malcomportamiento (por ejemplo: instalación de software espía, monitorización delos usuarios) a su archivo de hosts. Si desea hacerlo, le recomendamos que lea laspreguntas más frecuentes (FAQ) sobre la solución de posibles ralentizaciones ensistemas basados en Windows NT (Windows NT, 2000 y XP). Además, si se diesecuenta de que no puede visitar una web que antes funcionaba, debería comprobarsi ese sitio se encuentra en la sección de sitios bloqueados del archivo de hosts.

67

ActiveX

ActiveX es una tecnología de Microsoft que permite aplicaciones de internet que son máspotentes que simples scripts. Las aplicaciones ActiveX sólo funcionan con InternetExplorer, por lo que no es recomendable utilizar controles ActiveX en las páginas web.Debido a la gran influencia que pueden tener las aplicaciones Activex en el sistema (lasaplicaciones ActiveX tienen acceso a los mismos archivos que usted lo que supone elacceso a todos los archivos en la mayoría de los ordenadores), es recomendable tenermucho cuidado con el uso de Activex.

Existen dos tipos de aplicaciones ActiveX: firmadas y sin firmar. El código de lasaplicaciones que no está firmado no ha sido certificado y nunca debería confiarse en él.Las aplicaciones ActiveX firmadas están certificadas, pero aún así ¡pueden contenercódigo maligno! Sólo se debe confiar en las aplicaciones ActiveX cuando procedan desitios web de confianza y siempre basándose en la confirmación de cada caso (es decir, deforma que la configuración de IE haga que pregunte cada vez que una página web solicitecargar una aplicación ActiveX).

Muchos marcadores telefónicos y modificadores del navegador se instalan a sí mismos usando aplicaciones ActiveX.

ActiveX

Spybot-S&D puede mostrar una lista de las aplicaciones ActiveX instaladas. También tiene una pequeña base de datos integrada que muestra una marca verde delante de las aplicaciones ActiveX legítimas y una marca roja delante de las que no lo son.

Esta lista puede ser exportada a un archivo de texto como referencia o para analizarla másen profundidad.

Applet de Java

Un applet de Java es capaz de hacer más cosas que las permitidas con Javascript. Sin embargo, no tiene acceso completo a su máquina como lo tiene una aplicación completa de Java.Un applet necesita un navegador en el que ejecutarse, mientras que una aplicación completa de Java puede funcionar por sí misma (usando sólo la máquina virtual de Java(JVM)).

68

Claves

Seguramente ya conoce lo que es una clave. Cuando se accede a información privada en unsistema protegido, usted necesita una clave y, en muchos casos, un nombre de usuario para indicar al sistema su identidad.

La mayoría de los conceptos referentes a las claves ya han sido definidos, pero algunos de ellos deben repetirse con frecuencia para no olvidar su importancia en la protección de sus datos.

1. No facilite sus claves a nadie. Si alguien se las pide, diga que no. Simplemente, no hay motivos para que alguien se las pida. Si alguien le dice que es el administrador del sistema y que necesita conocer su clave le estará mintiendo.

2. Cuando elija su clave, no elija algo que otras personas puedan adivinar con facilidad. No use el nombre de su esposa, su gato, o el nombre de su empresa que tiene escrito en su ordenador o monitor. Aunque lo mejor sería una cadena de caracteres y números elegidos alazar, si necesita algo fácil de recordar, tome partes de palabras que pueda combinar y formar algo que sea fácil de pronunciar pero que no tengan sentido. Y para mejorarla, agregue algunos números a la clave.

3. No escriba su palabra de acceso en ningún papel accesible pegado en su pantalla o en su escritorio de trabajo. Si necesita escribirla para evitar olvidarla, guarde el papel en su cartera, pero nunca cerca de su ordenador.

4. No grabe su clave en un archivo del ordenador. Si no puede recordar todas, escríbalas en un papel. Si realmente es imprescindible guardarlas en un archivo, guárdelo encriptado.

Cortafuegos(firewall)

Un cortafuegos es básicamente un tipo de software o hardware que controla lastransferencias de datos. El uso típico de un cortafuegos consiste en dar seguridad alacceso de un ordenador o de una red de ordenadores a otra red (que puede serInternet). Un cortafuegos hardware es simplemente un elemento físico con circuitoselectrónicos que se coloca entre la red local y la red remota, y que permite o deniegaciertas transferencias basándose en unas reglas predefinidas. Un cortafuegossoftware es un programa que se instala en un ordenador y que básicamente hace lomismo. Tiene la ventaja de que puede establecer reglas basadas en en el software quehace la transferencia de datos, pero tiene el inconveniente de depender de losconocimientos del usuario para su adecuada configuración.

69

JavaScript

Un script de Java es un programa muy pequeño que se ejecuta en su ordenador cuando visita páginas web que tengan definidos ese script. Los scripts de Java tienen un accesomuy limitado al ordenador, pero pueden modificar el navegador.

LSP, Layered Service Provider

Un Proveedor de Servicio por Niveles (conocido en inglés como LSP) es uncontrolador del sistema que está íntimamente relacionado con los servicios de red deWindows. Tiene acceso a todos los datos que entran y salen del ordenador, así como laposibilidad de modificar estos datos. Unos cuantos de estos LSPs son necesarios parapermitir que Windows se conecte a otros ordenadores, incluyendo internet. Sinembargo, el software espía también puede instalarse como un LSP, obteniendo asíacceso a toda la información que se transmite. CommonName, New.Net,NewtonKnows y webHancer son algunos de los que actualmente utilizan LSPs.

Winsock LSPs

Spybot-S&D es capaz de mostrar una lista de los controladores de red instalados comouna referencia para los expertos y permite exportar esta lista para posteriores consultas.

Modificador del navegador (browser hijacker)

Un modificador del navegador es un pequeño programa o una configuración delregistro que provoca cambios en las páginas de inicio y de búsqueda de InternetExplorer. Si su navegador comienza con una página de inicio diferente (una queusted no ha cambiado), lo más probable es su navegador haya sido modificado.Los modificadores inteligentes no sólo cambian estas páginas, sino que tambiénagregan un pequeño archivo que restaurará las modificaciones cada vez que sereinicie el sistema. Los modificadores del navegador suelen usar programas deinstalación ActiveX o agujeros de seguridad del sistema para instalarse.

Registros de uso Los registros de uso son las huellas que usted deja en su sistema. Cada vez que visita una

70

página con su navegador, o al abrir un archivo, esa información se guarda en Windows. Enla mayoría de los casos eso es muy útil. Si desea volver a abrir un archivo, puedeseleccionarlo de una lista en lugar de tener que volver a escribir el nombre completo delarchivo o volver a navegar por la estructura de carpetas.

Pero en algunos casos puede que desee ocultar su actividad ya que el software espía y losposibles atacantes de Internet podrían utilizar esa información. Spybot-Search&Destroypuede eliminar algunas de los más importantes y comunes registros de uso.

71

Descarga e InstalaciónObviamente la primera cosa que necesita hacer es descargar Spybot-S&D desde su página de descarga. NO OLVIDE VERIFICAR el md5de cada archivo antes de proceder a ejecutarlo !!!

La página de descarga primero le da un poco de información de cómorealizar una donación; si le gusta el programa, le animo a volver mástarde y donar alguna cosa. Pero ahora mismo lo que quiere esdescargarlo. Las descargas están en la misma página, bajando la barrade desplazamiento sólo unas pocas líneas y verá una tabla con tressitios de descarga. Haciendo clic en uno de ellos, le llevará a unapágina que le ofrece la descarga. Cada una de esas páginas es un pocodiferente, pero debería de ser capaz de encontrar allí el enlace dedescarga sin problemas.

El archivo que ha descargado se llamará spybotsd14.exe o similar. Para instalar Spybot-S&D, todo loque tiene que hacer es ejecutar el archivo y la instalación del programa se iniciará (si lo ha descargadocon Internet Explorer, la ventana de diálogo de descarga le dará la opción de abrir el archivodirectamente). El instalador le mostrará la licencia de uso y le solicitará una ubicación para lainstalación. Puede ir con los valores predeterminados aquí y sólo hacer clic, a su modo, en el botónSiguiente o Next durante el proceso de instalación.

Después de que la instalación haya acabado, verá un icono Spybot - Search & Destroy en su escritorio yen su menú de Inicio. Haga clic en él para iniciar Spybot-S&D la primera vez.

Primera ejecución y actualización.La primera vez que inicie Spybot-S&D, le mostrará un Asistente, una pequeña ventana le irá ayudando durante los primeros pasos. Por ejemplo, le dará la posibilidad de añadir o eliminar los iconos que se han o no creado durante la instalación. Sólo le deja decidir si los quiere mantener y pasará a la siguientepágina.

Si está usando un proxy en Internet Explorer, Spybot-S&D le mostrará este proxy y un botón que la dará la oportunidad de utilizarlo también para Spybot-S&D. Si el campo de texto está vacío no

72

necesitará hacerlo, pero en la mayoría de los casos esto muestra una dirección de internet y debería importar esta configuración del proxy.

La siguiente página se ocupa de la actualizaciones. Es muy importante mantenerlo al día. Usando los dos botones que esta página ofrece le hará las actualizaciones, si desea hacerlo más tarde, siga las siguientes imágenes:

La última página del asistente le preguntará si quiere leer el archivo de ayuda. El archivo de ayuda siempre es un buen recurso si duda sobre lo que debería hacer, así que por favor, haga una lectura mínima de las primeras páginas de ésta.

73

74

Realizar un análisisDespués de finalizar el tutorial, puede encontrarlo usted mismo en las páginas de Configuración o Enlínea. Como ahora mismo los valores predeterminados están bien y también ha actualizado, le permitiráignorarlos por ahora y hacer el primer análisis.

En la parte izquierda del programa hay un panel de navegación que puede llevarle a todas las funcionesdel programa. La primera sección (el botón situado más arriba) está etiquetado como Spybot-S&D y ledirige la página principal. Ahora verá únicamente una lista vacía y una barra de herramientas en la parteinferior. El primer botón en esta barra de herramientas se llama Analizar problemas - que es el botónque tiene que presionar para empezar el análisis. Presiónelo y observará el progreso del análisis

Interpretando los resultadosLlegados a este punto, podríamos pasar directamente al punto 7 y eliminar los resultados. Sin embargo,recomendamos que primero dé una ojeada a todas las cosas que Spybot-S&D ha detectado. La primeracosa que debería aprender es a distinguir entre las entradas rojas, que representan al software espía yamenazas similares, y las entradas verdes, quenos indican registros de uso. Los registros deuso son las huellas que usted deja en su sistema.Cada vez que visita una página con sunavegador, o al abrir un archivo, esainformación se guarda en Windows. En lamayoría de los casos eso es muy útil. Si deseavolver a abrir un archivo, puede seleccionarlode una lista en lugar de tener que volver aescribir el nombre completo del archivo ovolver a navegar por la estructura de carpetas.

Pero en algunos casos puede que desee ocultarsu actividad ya que el software espía y losposibles atacantes de Internet podrían utilizaresa información. Spybot-Search&Destroy puede eliminar algunas de los más importantes y comunes registros de uso.

Para los registros de uso, eliminarlos no es crítico, pero depende de sus preferencias personales.

75

Ignorando los registros de uso por ahora, debería ver las entradas rojas que representan las amenazasreales. Mientras, por supuesto, puedamos confiar en que hemos escogido los objetivos mediante uncriterio estricto, si hace clic en cada producto puede analizarlos usted mismo y leer la información delproducto que se mostrá en una ventana emergente.

ExcepcionesTodos los problemas mostrados en rojo están considerados como amenazas reales y debería ocuparsede ellos. Pero mientras lea descripción del producto, aún podría decidir mantenerlas o, únicamente setrata de registros de uso.

¿Quizás no desee eliminar su lista de documentos Word utilizados más recientemente? Llegados a estepunto usted tiene tres opciones:

• Podría decidir ignorar todos los registros de uso. En ese caso abriría la página de Módulos en la sección del programa Configuración, y deshabilitar las entradas de los Registros de uso.

• O si quiere sólo mantener los registros de un producto determinado, únicamente haga clic en el botón derecho del ratón sobre un producto que aparezca en la lista de resultados.

• Finalmente, si desea mantener sólo un archivo, es posible hacerlo de la misma forma

Eliminando las amenazas encontradasAhora debería reconocer cada una de las cosas que ha encontrado. Es hora de usar el botón deSolucionar problemas seleccionados.

Una vez haya empezado podría pensar también en la eliminación de los registros de uso, podría creer

76

que encargarse de todas las entradas verdes es un duro trabajo. Esto es así por una simple razón - para irforzándole, principiante - al mirar los resultados. Una vez conoce con qué está tratando, hay disponible el botón oculto Seleccionar todo para usted.

Criterios para la determinación de Malware

Lo que sigue es una lista de las categorías (usted la habrá visto en la descripción del producto como 'Amenazas'), y cómo los productos se clasifican en estas categorías.

• Adware (Anuncios)Adware es básicamente todo aquel software que visualiza en su pantalla anuncios indiscripinadamente. Como el adware en sí mismo no atentan a su privacidad o seguridad de sus datos, se analizan otros factores adicionales antes de agregar dicho software a la base de datos de Spybot-S&D. Así, puede ser por ejemplo:

• Condiciones de Seguridad - Si el presentador de anuncios se instala sin su conocimiento, o sólo se menciona en la página 24 de un acuerdo de licencia muy largo

77

sin indicar una opción para no instalarlo. • Condiciones de Conectividad - Si el presentador de anuncios instala su propio

actualizador automático que descarga posteriormente actualizaciones y/o software adicional sin su confirmación o incluso sin su conocimiento.

• Condiciones de Permanencia - Si el presentador de anuncios se mantiene residente en memoria, y continuamente le molesta con anuncios, incluso si la aplicación principal que usted instaló no está activa, y no se le advirtió durante la instalación.

• Condiciones de Puertas Traseras - Si el presentador de anuncios al ser desinstalado no desinstala también la presentación de anuncios, y el software usa múltiples esquemas de protección para impedirle su desinstalación completa.

• BHOBrowser helper objects (BHO's) ó Asistentes de Objetivos de Navegadores. Son pequeños programas que amplían las capacidades del Internet Explorer de Microsoft. Todos los BHO's se clasifican así, pero la clasificación como BHO no significa que necesariamente exista un riesgo a menos que sea instalado secretamente, o haga funciones de espía de sus datos en el uso de IE. En este caso, una clasificación adicional lo revelará.La única excepción de un BHO que no es dañino es aquel que no es clasificato adicionalmentecomo BHO Inestable. Estos últimos, son programas que provocan que el navegador integrado en Internet Explorer se vuelva inestable, causando bloqueos, interrupciones y otros efectos negativos colaterales.

• Espía de NavegadorHay dos criterios para clasificar a un software que cambia la página inicial o la página de búsquedas como Espía de navegador:

• Cambio Perjudicial - si cambia su configuración sin informarle o pedirle confirmación.• Permanencia - si el software se instala a sí mismo en una forma tal que impide cambiar

su nuevamente a su configuración original de la forma originalmente establecida como estandard.

• Puerta Trasera - si el software usa aprovechamiento de debilidades de seguridad de su navegador para instalarse por sí mismo sin pedirle confirmación.

Todo software que cambie la página de inicio de el Internet Explorer o cualquier otro navegador y/o las páginas de búsquedas sin su conocimiento, o que lo hace sin permitirle una posterior "vuelta atrás" se clasifica como Espía.

• Marcador TelefónicoTodo software diseñado para iniciar llamadas a números de teléfono de pago especial si no hayuna causa seria, usando su hardware marcador, es clasificado como un 'Dialer'. Existen casos en que sólo por visitar páginas pornográficas o de descarga de 'cracks' de programas ocasionancostosas consecuencias al aplicar inadvertidamente marcadores telefónicos inesperados.

• Controlador de Pulsaciones de TecladoEstos Controladores son fáciles de clasificar, pues se trata de programas que han sido diseñados para espiar a otras personas. Los anuncios de estos productos indican claramente que este es su propósito en todos los casos.

• Software MaliciosoAsí se clasifica todo software que llega a su máquina con el propósito de hacer daño a el software del usuario, y que no entra dentro de ninguna otra categoría Algunos criterios diferenciales dentro del software malicioso son:

78

• Bloqueo - Es el software que provoca la desactivación de otro software, o incluso lo desinstala.

• Borre - Es el software que provoca el borre o destrucción de otro software o datos, como por ejemplo, los Virus.

• Conectividad - Es el software que constantemente establece conexión con sitios de internet sin una necesidad real para ello.

• Spyware (software espía o espías)'Spyware' es la peor forma de software de anuncios. Los espías generalmente cumplen los criterios de software de anuncios y adicionalmente, uno o más de los siguientes criterios adicionales:

• Seguimiento - observando el tráfico en internet revela que el programa transmite un 'identificador único'(unique ID) asignado a usted o a su computadora para vigilar sus hábitos de uso de software u otros accesos.

• Espionaje - el tráfico de internet revela que la información personal, por ejemplo que las URLs y otros datos, incluyendo posibles datos sensibles como los nombres de usuario y las passwords, son transmitidas.

• Política Defectuosa - si la Política de Privacidad del producto revela que recolecta información personal, que incluso a veces es vendida a otras empresas.

• Política Imperfecta - si la Política de Privacidad del producto sólo revela los pocos datos de información no-personal que serán transmitidos, sin explicitar la exclusión de otra información personal más importante que 'también' pueda ser transmitida.

En el caso de la Política Imperfecta, el software se clasifica inicialmente como Posible Espía hasta que otro criterio se confirme.

• TroyanoTroyano es una clasificación para el software que usa el ocultamiento para instalarse en su sistema, posiblemente con la intención de hacer daño. Usualmente esta clasificación se acompaña con la clasificación adicional de controlador de pulsaciones de teclado, espía o virus, lo cual define con mayor precisión el nivel de riesgo que representa el troyano.

• GusanoSe clasifica como gusano al software que usa software local para diseminarse por sí mismo a tantas computadoras como sea posible sin el conocimiento o consentimiento del usuario.

.

Programa de Técnicos en Mantenimiento y Reparación de PC´s

Curso: Diagnóstico y Virus

79

Instructor: Ing. William Marin Morenowmarin@itcr.ac.cr. Tel 550-2120

Práctica de Instalación de AvastAntivirus

v05/08_R09/08

Instalación de Avast Antivirus.

1. ¿Cómo se llama la empresa desarrolladora de Avast Antivirus y cuál es la URL de su sitio web?________________________________________________________________

2. Ingrese a la página del antivirus Avast e investigue: ¿cuál es la última versión______________________________________________________________________________.

3. Descargue la última versión del antivirus (Home Edition) en español. Mientras lo hace, contestelo siguiente.

4. ¿En cuáles tipos de archivo comprimidos puede Avast buscar virus (mencione 5) ___________,____________,_______________,_______________,______________________.

5. ¿En qué consiste la protección estándar residente de Avast?____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________.

6. ¿Cuáles protocolos de correo puede Avast monitorear?_______________________________________________________________________________________________________________________________________________________________________.

7. En qué consiste el módulo de protección P2P e IM de Avast?_____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________.

8. ¿En qué consiste la protección de Red de Avast? ¿En cuáles sistemas operativos puede ser utilizado?

___________________________________________________________________________________

80

_____________________________________________________________________________________________________________________________________________________________________________________.

9. ¿En qué consiste la protección de Web de Avast? ¿Con cuales navegadores es compatible? ¿Quées un proxy?

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________.

10. ¿En qué consiste el “Virus Chest” de Avast?________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________.

11. Una vez descargado Avast, instálelo y actualícelo.12. ¿Porqué aparecen DOS íconos en la barra de tareas?

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________.

13. En la documentación de Avast se habla de VRDB. ¿qué es y cada cuanto se actualiza?________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________.

14. Asegúrese de poseer la última actualización de la base de datos de virus, y ejecute una búsquedacompleta de virus en si sistema. Anote los resultados

._________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________.

This document is licensed under the Attribution-NonCommercial-ShareAlike 3.0 Unported license,available at http://creativecommons.org/licenses/by-nc-sa/3.0/.

81

Instituto Tecnológico de Costa RicaEscuela de Ingeniería En Electrónica.

Programa de Técnicos en Mantenimiento y Reparación de PC´s

Curso: Diagnóstico y VirusInstructor: Ing. William Marin Morenowmarin@itcr.ac.cr.

Revisión de infecciones Online.v05/08_R11_08

Muchas veces un archivo podría estar infectado con un virus o algún otro tipo de malware sinque nuestro anti virus lo detecte, pero el usuario sospecha que podŕia estar infectado. Porotro lado, cada vez es más común la descarga de archivos desde internet que podríancontener algun tipo de malware.Es posible que en el computador que se está utilizando no se cuenta con una herramientaantivirus actualidaza o que se tenga duda de su eficacia.Para estos casos existen ciertas alternativas que nos permiten asegurarnos si el archivo encuestión está infectado:

1. Utilizar algún tipo de Live-CD con un antivirus: en éste caso se debe descargar una“imagen” de un CD (700MB aproximadamente) o DVD (4,7GB aproximadamente) einiciar la máquina desde la unidad de CD o DVD para poder ejecutar el antivirus yverificar si el archivo (o el sistema) se encuentra infectado,

2. Utilizar alguna herrameinta online que permita verificar si un archivo espacíficado seencuentra infectado.a. Kaspersky (http://www.kaspersky.com/scanforvirus )b. Avast: (http://onlinescan.avast.com/ )c. VirusTotal (http://www.virustotal.com/es/ )d. BitDefender (http://www.bitdefender.com/scan8/ie.html) e. Symantec(http://security.symantec.com/sscv6/default.asp?langid=ie&venid=sym )f. Panda_ActiveScan(http://www.pandasecurity.com/homeusers/solutions/activescan/)g. Jottis Malware Scan (http://virusscan.jotti.org/ )h. F-secure (http://support.f-secure.com/enu/home/ols.shtml )

Debe tenerse mucho cuidado al utilizar herramientas que aparecen en forma de pop-upsofreciendo antivirus y revisiones gratuitas de su computador mientras se navega por internet,ya que posiblemente termine usted infectando el computador en vez de limpiarlo.Algunas de las herramientas listadas anteriormente, solamente sirven para verificar unarchivo a la vez con un solo antivirus en particular; otras permiten revisar un archivo a la vezpero con varios antivirus simultáneamente (útil para comparar diferentes antivirus). Por otrolado, otras permiten revisar completamente el computador, por lo que posiblemente lesoliciten que instala algún controlador ActiveX,

82

Práctica1. Ingrese al sitiio que le indica el instructor,2. Uno a uno vaya ingresando a los sitios de herramientas antivirus online, y tome nota

en la tabla que se encuentra al final, de cada uno si se trata de:a. Herramientas para verificar UN archivo utilizando solamente UN antivirus.b. Herramientas para verificar UN archivo utilizando VARIOS antivirus.c. Herramientas para verificar completamente la integridad de la PC,

En caso de que la herramenta la solicite el archivo que desea verificar, utilice los archivos deejemplo que le brinda el instructor.

Sitio (nombre/empresa de la herramienta) Tipo de herramienta (a,b,c, otro)

Observaciones__________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

This document is licensed under the Attribution-NonCommercial-ShareAlike 3.0 Unportedlicense, available at http://creativecommons.org/licenses/by-nc-sa/3.0/.

83

Instalación de Microsoft Virtual PCVirtual PC es un software de Microsoft que permite instalar varios sistemas operativos en la misma máquina, sin tener que reiniciar Windows y además de forma segura, puesto que la partición de Windows no se vera afectada.

Yo trabajo en Autentia y allí tenemos imágenes (máquinas virtuales de virtual PC , qemu..) de varios entornos de desarrollo ya montados, de manera que si se necesita desarrollar en alguna plataforma específica no instalada en el ordenador no hay que estar perdiendo el tiempo en instalar y configurar (acciones que a veces conllevan más tiempo que el propio desarrollo).

Como la máquina virtual se genera en un archivo (realmente son varios contenidos en una carpeta), dichos archivos se pueden luego transferir a otros ordenadores con virtual PC instalado, y la maquinavirtual funcionara perfectamente, ahorrando tiempo y costes.Virtual PC es un programa similar a vmware workstation o qemu.Se puede descargar una versión de evaluación de virtual PC aquí.

Proceso de instalación

Al comenzar la instalación obtendremos las siguientes pantallas:

Imagen 1: instalación de virtual PC

84

Imagen 2: instalación de virtual PC

El sistema pide la ruta del instalación del programa

85

Imagen 3: instalación de virtual PC

Se introduce el nombre de usuario y clave (la clave viene ya definida dado que es una versión de evaluación)

Imagen 4: instalación de virtual PC

a partir de este momento vamos a configurar nuestro primer equipo virtual. Los pasos son sencillos, pero veremos lo que significa cada uno:

86

Imagen 5: configuración del primer equipo virtual

Imagen 6: configuración del primer equipo virtual

87

En esta pantalla se nos muestran tres opciones:

la primera (por defecto) permite crear un nuevo equipo virtual. La segunda opción crea una maquina virtual con ciertas opciones por defecto, a la que luego habrá que hacer ciertas modificaciones. La tercera opción permite crear una máquina virtual que ya existe en el disco duro (por ejemplo una que nos ha pasado alguien con un entorno ya configurado).

Elegimos la primera opción puesto que vamos a crear una nueva maquina virtual paso a paso.

Imagen 7: configuración del primer equipo virtual

Le damos un nombre a la máquina virtual, y si lo deseamos, elegimos una nueva ruta donde queremos guardar los ficheros que genera (por defecto los guarda en la carpeta mis documentos). pulsamos siguiente y seguimos el proceso.

88

Imagen 8: configuración del primer equipo virtual

seleccionamos el sistema operativo que vamos a instalar. En este tutorial vamos a instalar Windows 2003 Server, aunque como se puede ver hay gran cantidad de sistemas posibles para instalar. Por tanto seleccionamos Windows 2003 Server y continuamos.

89

Imagen 9: configuración del primer equipo virtual

ahora el asistente nos pide la memoria ram que queremos asignar a nuestra máquina. Se aconseja dejarla que el asistente indique. si deseas cambiar la memoria asignada ten en cuenta dos cosas: si asignas muy poca memoria, el sistema operativo que instales puede funcionar mal, o incluso no hacerlo; si eliges demasiada memoria el rendimiento general de tu máquina disminuirá, puesto que la memoria ram que se asigna es parte de la memoria ram física de tu sistema. Usamos la cantidad recomendada y continuamos.

90

Imagen 10: configuración del primer equipo virtual

en este paso creamos un disco duro virtual: tenemos dos opciones: crear un nuevo disco duro, o utilizar uno existente (por ejemplo uno que creo otra persona con ciertos programas, o datos). Hay que tener en cuenta una cosa: se pueden crear hasta 3 discos duros virtuales, y en este primer disco duro virtual se va a instalar el sistema operativo, así que para que la maquina virtual arranque correctamente si agregamos un disco duro virtual existente, éste debe contener un sistema operativo. Elegiremos la opción de crear unnuevo disco duro virtual y continuamos.

91

Imagen 11: configuración del primer equipo virtual

elegimos la ruta donde guardar el archivo del disco duro virtual y pulsamos siguiente

92

Imagen 12: configuración del primer equipo virtual

Proceso de configuración

¡Ya tenemos el equipo virtual creado!. Pulsamos sobre finalizar y aparecerá la siguiente pantalla: (si no pareciera automáticamente ir a inicio-->todos los programas-->Microsoft virtual PC)

Imagen 13: ejecución del equipo virtual

mediante esta ventana podemos crear, configurar o eliminar equipos virtuales. Pulsando en el botón

93

nuevo se repetiría todo el proceso anterior para crear un nuevo equipo virtual (podemos crear tantos como queramos). Sin embargo nosotros pulsaremos sobre configuración para ver las opciones que tenemos para personalizar el equipo virtual que hayamos seleccionado.

Imagen 14: configuración del sistema

Fijémonos antes de nada en la ventana de propiedades. a la izquierda tenemos todas las propiedades delsistema que podemos modificar, y a la derecha irán apareciendo los valores correspondientes a cada propiedad. La primera propiedad que vemos es el nombre de archivo, que en esencia es el nombre que le damos a nuestra maquina virtual , que podemos cambiar o dejarla al valor que pusimos inicialmente.

94

Imagen 15: configuración del sistema

En memoria podemos cambiar el tamaño de la memoria ram del PC virtual. Como ya comentamos anteriormente, hay que tener cuidado al elegir el valor, pues virtual PC tomara de la ram física de nuestro PC el tamaño que le demos a la ram del equipo virtual. cambia el valor sólo si estas seguro de lo que haces.

95

Imagen 16: configuración del sistema

Desde aquí podemos elegir el archivo del primer disco duro para nuestro sistema, o crear uno nuevo mediante el asistente pulsando sobre 'Asistente para disco virtual'.

Imagen 17: configuración del sistema

96

Como se puede observar nuestro sistema puede tener hasta tres discos duros virtuales, que seleccionaremos mediante este y el siguiente menu. Podemos elegir un archivo de disco duro existente, o crear uno nuevo.

Imagen 18: configuración del sistema

Esta opción, discos para deshacer, es muy interesante, ya que nos permite realizar operaciones dentro del sistema operativo (como instalar aplicaciones, ejecutar programas con riesgos de infeccion viral..) y al final, decirle que no guarde los cambios, de manera que en el siguiente inicio de la máquina virtual, ésta se encuentra en el estado inicial. También permite guardar los cambios hasta el siguiente inicio de sesión (con posibilidad de deshacer estos cambios), o guardarlos definitivamente. Ten en cuenta que activar esta opción aumentara el tamaño del archivo de disco duro de la maquina virtual.

97

Imagen 19: configuración del sistema

Esta opción simulará que la unidad de cd o dvd esta conectada en el ide secundario. La mayoría de sistemas operativos aceptan esto sin problemas, pero en caso contrario se puede desactivar.

Imagen 20: configuración del sistema

activando esta opción se permite que le sistema operativo instalado en la máquina virtual detecte automáticamente la existencia de un disquete.

98

Imagen 21: configuración del sistema

Si necesitáramos tener un puerto serie para la máquina virtual (para conectar un módem o algún dispositivo en este puerto) se debe especificar aquí. Se puede seleccionar el puerto físico COM1 de nuestroPC, una canalización con nombre (que realmente es como un pipe de unix) o un archivo de texto que simulará la entrada y salida de datos del puerto. Lo mismo sucede con COM2

Imagen 22: configuración del sistema

Desde aquí seleccionamos si existe puerto LPT1 (puerto de impresora o periféricos que usen el puerto

99

paralelo). Si quieres imprimir desde la maquina virtual, y tu impresora utliza el puerto paralelo, debes activar esta opción.

Imagen 23: configuración del sistema

Mediante este menú elegimos las interfaces de red que queremos que tenga la maquina virtual (físicas), o seleccionar 'Local solamente', que conectaría la maquina virtual a nuestra red.

100

Imagen 24: configuración del sistema

aquí puedes activar el sonido o desactivarlo. desactívalo si tienes problemas con el software que vas a instalar en la maquina virtual.

Imagen 25: configuración del sistema

La integración de puntero permite cambiar el puntero del raton entre la ventana del equipo virtual, y nuestro escritorio, de manera que para pasar de Uno a otro no hay que presionar ninguna combinación especial de teclas. Ésta opción solo estará disponible cuando en el sistema virtual se instalen unos drivers especiales llamados Virtual Machine Additions.

101

Imagen 26: configuración del sistema

Desde aquí podremos indicar que carpetas compartidas a la red de Windows tendrá el sistema virtual (no hace falta que esté conectado físicamente ala red local). Esto es muy útil para transferir datos entre nuestro PC y la máquina virtual.

102

Imagen 27: configuración del sistema

Este menú permite configurar varias opciones de pantalla. Como en el caso del ratón, algunas opciones sólo estarán disponibles tras instalar las Virtual Machine Additions

Imagen 27: configuración del sistema

Desde aquí podemos seleccionar diferentes opciones para cerrar la maquina virtual.

Bien, pues después de todo esto, ya tenemos instalado y configurada la máquina virtual.

Como ya se comento, algunas de las propiedades anteriores necesitan de las Virtual Machine Additions,

103

unos drivers especiales para la máquina virtual. Dichos drivers solo se pueden instalar cuando exista en la misma un sistema operativo instalado. Procedamos pues a realizar la instalación de un sistema operativo, que para este tutorial será Windows 2003 Server:

Instalación de Windows 2003 Server

Acto seguido instalaremos Windows 2003 Server en la maquina virtual que hemos creado anteriormente.Ejecuta la maquina virtual (Inicio->todos los programas->Microsoft virtual PC). Selecciona la maquina virtual que hemos creado (como en la imagen 13) y pulsa iniciar. Verás que la maquina virtual arranca como si un ordenador normal se tratase. Tenemos dos opciones para instalar Windows 2003; una es si lo tenemos grabado en cd, pues se introduce en la unidad de cd y la maquina virtual arrancara desde el cd, como cualquier PC que tenga habilitada esta opción. La otra es si tenemos un archivo ISO con la imagen de Windows 2003. En este caso no es necesario grabarla a formato físico, dado que virtual PC permite cargar una imagen iso como si de una unidad de cd se tratase. en la ventana de la mauina virtual arrancada, en la barra de menú, verás uno que se llama CD, y dentro de él una opción que es capturar imagen de ISO. Seleccionariamos esta opción y escogemos el archivo ISO que queremos utilizar.

El sistema de instalación de Windows 2003 comenzará:

Imagen 28: Inicio de la instalación de Windows 2003

Y el resto de la instalación se realiza como si en un ordenador físico se realizara, pero con la ventaja de que no perderemos ningún dato en caso de que la instalación sea fallida o halla algún problema. Aquí os

104

dejo el resto de capturas para que os hagáis una idea.

Imagen 29: instalación de Windows 2003

105

Imagen 30: Fin de la instalación de Windows 2003

¡Y ya está! ya tenemos instalado Windows 2003 Server en nuestra máquina, y ya podemos investigar este sistema operativo de Microsoft. Incluso podemos crear servidores en Windows 2003 y poder acceder a ellos desde fuera de la máquina virtual, daod que, si os acordais en la configuración de la red, especificábamos que tarjeta física de nuestro ordenador utilizaría. Solo tienes que configurar la conexión aInternet desde dentro del Windows 2003 y podrás navegar por internet dentro de la máquina virtual. ¡Unagozada!.

Documento original de:

Germán Jiménez Centeno, Ingeniero en Informática (gjimenez@autentia.com)

Programador en Autentia

Autentia Real Business Solutions S.L. (www.autentia.com)

106

Instituto Tecnológico de Costa RicaEscuela de Ingeniería en ElectrónicaPrograma de Capacitación en ElectrónicaPrograma de Técnicos en Mantenimiento y Reparación de PC's

Curso de Diagnóstico y VirusInstructor: Ing. William Marín Moreno.

Deshabilitar auto-ejecución de medios de almacenamiento extraíbles.

Una buena parte de los virus hacen uso de características propias de Windows, para hacer de las suyas.Una de esas características es la ejecución del archivo autorun.inf en medios de almacenamientoremovibles ( DVD, CD o memorias USB).

La mayor parte de bloqueadores de autorun.inf utilizan una variable policies que evita la autoejecuciónen determinados dispositivos. Pero en el momento en el que uno abre descuidadamente el dispositivo,de todas maneras se ejecuta el archivo autorun.inf, con el consiguiente virus infectado del dispositivo.

Estos métodos a continuación deshabilitan permanente y totalmente la capacidad de auto-ejecución deautorun.inf .

Método 1

Instrucciones:

1. Menú Inicio > Ejecutar2. Escribir: gpedit.msc y pulsar "intro"3. En el arbol de la izquierda, seguir laruta:

Directiva de equipo local > Configuración del equipo > Plantillas administrativas > Sistema

4. Y en la ventana de la derecha, bajar hasta "Desactivar reproducción automática" (doble click)5. Seleccionar en "Habilitar", y elegir la opción:

Desactivar reproducción automática en: Todas las unidades.

Ver imagen en la página siguiente

107

Método 2

REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\Autorun.inf]@="@SYS:DoesNotExist"

1. Copiar lo anterior en el notepad y guardar como “deshabilita.reg”2. Re-iniciar o remover la llave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

108

Método 3

Procedimiento:

1. Inicio -> Ejecutar -> regedit. 2. Buscar la siguiente clave del registro:

Windows XP:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

Windows 2000:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints

3. Con el botón secundario del ratón, editar los PERMISOS de dicha clave. 4. Denegar el “control total” para todos los usuarios, incluyendo SYSTEM, nombre de PC, etc. (ver imagen en página siguiente)

109

Aun cuando alguien tenga virus en un dispositivo como una memoria USB, de los virus que funcionancomo autorun, este virus no será ejecutado. Dando tiempo al antivirus de escanear el dispositivoexterno hasta su desinfección.

110

Instituto Tecnológico de Costa RicaEscuela de Ingeniería En Electrónica.

Programa de Técnicos en Mantenimiento y Reparación de PC´s

Curso: Diagnóstico y Virus Instructor: Ing. William Marin Morenowmarin@itcr.ac.cr. Tel 550-2120

Firewall personal.ver.0708rev.0708Un firewall personal (conocido como pared de fuego o cortafuegos) es una aplicación que controla eltráfico de datos que entra y sale del computador através de la red. El término personal hace referenciaal usuario final, por lo que un firewall personal solamente ayuda a proteger el computador en el queestá instalado.

Muchos firewalls son capaces de controlar el tráfico de red preguntándole al usuario cada vez quealgún programa intenta una conexión, adaptando las políticas de seguridad conforme a los deseos delusuario; pero algunos firewalls también brindan cierto nivel de detección de intrusiones, permitiendo

111

finalizar o bloquear la conectividad si se sospecha un intento de intrusión en el sistema.

Características Generales de un Firewall

• Alertar al usuario sobre intentos de conexiones salientes. • Permitir que el usuario controle cuáles programas pueden utilizar la red local y/o Internet. • Esconder el computador de escaneadores de puertos TCP/UDP abiertos. • Supervisar (“monitorear”) las aplicaciones que están a la escucha de conexiones entrantes • Supervisar y regular todo el tráfico entrante y saliente desde y hacia Internet. • Evitar tráfico de red indeseado de aplicaciones instaladas localmente. • Informar al usuario de las aplicaciones que realicen intentos de conexión. • Informar al usuario acerca del destino final con el que una aplicación intenta comunicarse.

Problemas y limitaciones de los firewalls personales.

● En lugar de reducir la cantidad de servicios de red, un firewall personal es un servicio adicionalque utiliza (consume) recursos del sistema y que además puede ser objeto de ataques2.

• Si el sistema ha sido comprometido por algún tipo de Malware o Spyware, dichos programaspodrían manipular el firewall dado que ambos programas residen en el mismo sistema, por loque podría burlarse la protección del firewall e inclusive desactivarlo completamente.

• El alto número de alertas que se generan al inicio (recién instalado) puede causar que el usuariopierda “sensibilidad” ante futuras alertas, e inclusive que el usuario deniegue el servicio aaplicaciones que no necesariamente son maliciosas. (por ejemplo.solicitudes ICMP).

• Firewalls por software que interactúen directamente con el kernel del sistema operativo(conocido en programación como modo kernel o modo supervisor) podrían potencialmentecausar inestabilidad en el sistema e inclusive introducir problemas extra de seguridad.

• Un firewall no puede proteger contra aquellos ataques cuyo tráfico no pase a través de él. • El firewall no puede proteger de las amenazas a las que está sometido por ataques internos o

usuarios negligentes. El firewall no puede prohibir a espías corporativos copiar datos sensibles

2Por ejemplo, el Gusano Witty fué diseñado para atacar firewalls (http://www.caida.org/research/security/witty)

112

en medios físicos de almacenamiento (diskettes, memorias, etc) y sustraigan éstas del edificio.

• El firewall no puede proteger contra los ataques de Ingeniería social (práctica de obtenerinformación confidencial a través de la manipulación de usuarios legítimos.3)

• El firewall no protege de los fallos de seguridad de los servicios y protocolos de los cuales sepermita el tráfico. Hay que configurar correctamente y cuidar la seguridad de los servicios quese publiquen a Internet.

Programas:A continuación se muestra una tabla de comparación de varios productos comerciales y gratuitos, el reporte completo para cada uno lo puede encontrar en4. Las herramientas utilizadas para probar los firewall se pueden encontrar en www.firewallleaktester.com o en http://www.matousec.com/projects/security-software-testing-suite/

Producto Score Nivealcanzadol Nivel de Protección

Outpost Firewall Pro 2009 6.5.2355.316.0597

99% / 73 10 excelente

Online Armor Personal Firewall 2.1.0.131 98% / 73 10 excelente

Comodo Firewall Pro 3.0.22.349FREE 95% / 73 10+ excelente

ProSecurity 1.43 93% / 62 10 excelente

Online Armor Personal Firewall 2.1.0.131FreeFREE

89% / 73 10 muy bueno

Kaspersky Internet Security 7.0.1.325 85% / 62 10 muy bueno

Jetico Personal Firewall 2.0.2.4.2264 78% / 73 7 bueno

System Safety Monitor 2.3.0.612 77% / 62 7 bueno

Lavasoft Personal Firewall 3.0.2293.8822 70% / 73 7 bueno

Privatefirewall 6.0.11.30 65% / 62 7 pobre

ZoneAlarm Pro 7.0.473.000 63% / 73 7 pobre

Webroot Desktop Firewall 5.5.10.20FREE 60% / 73 7 pobre

Norton Internet Security 2008 15.5.0.23 32% / 62 4 muy pobre

Trend Micro Internet Security 2008 16.10.0.1106

27% / 73 4 ninguno

3 "los usuarios son el eslabón débil". Un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente,pretendiendo, por ejemplo, ser un empleado de algún banco solicitando información ( aprovechan la tendencia naturalde la gente a reaccionar de manera predecible en ciertas situaciones,-por ejemplo proporcionando detalles financieros aun aparente funcionario de un banco- en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos)

4 http://www.matousec.com/projects/firewall-challenge/results.php

113

Producto Score Nivealcanzadol Nivel de Protección

G DATA InternetSecurity 2008 19% / 73 3 ninguno

Sunbelt Personal Firewall 4.5.916 18% / 62 3 ninguno

FortKnox Personal Firewall 2008 3.0.195.0

16% / 62 2 ninguno

Look 'n' Stop 2.06 15% / 62 2 ninguno

F-Secure Internet Security 2008 8.00.101 12% / 73 2 ninguno

Panda Internet Security 2008 12.01.00 12% / 73 2 ninguno

Avira Premium Security Suite 8.1.00.206 11% / 70 2 ninguno

AVG Internet Security 8.0.93 6% / 62 1 ninguno

PC Tools Firewall Plus 3.0.1.9FREE 6% / 62 1 ninguno

McAfee Internet Security Suite 2008 9.1.108

6% / 70 1 ninguno

Ashampoo FireWall FREE 1.20FREE 5% / 73 1 ninguno

ESET Smart Security 3.0.621.0 5% / 62 1 ninguno

Rising Personal Firewall 2007 19.66.0.0 5% / 62 1 ninguno

Windows Live OneCare 2.0.2500.22 5% / 62 1 ninguno

BitDefender Internet Security 2008 11.0.16

4% / 70 1 ninguno

BullGuard Internet Security 8.0.0.13 4% / 70 1 ninguno

iolo Personal Firewall 1.5.2.7 3% / 62 1 ninguno

Filseclab Personal Firewall 3.0.3.8982FREE

3% / 73 1 ninguno

Steganos Internet Security 2008 7.5.509 3% / 70 1 ninguno

114

Práctica

1. Ingrese al panel de control y asegúrese de desactivar el Firewall de Windows.

2. Ingrese a www.grc.com

3. Presione SHIELDS UP!

4. Leak test es una pequeña utilidad que intenta conectarse (conexión saliente) desde su computador al servidor grc.com, tan sencillo como eso. Su utilidad radica en el hecho de que permite determinar el nivel de control que tiene el firewall sobre las conexiones salientes del computador y su capacidad de filtrado.

5. Para probar si un firewall puede ser penetrado, al ejecutar Leak Test, si usted tiene un firewall instalado y éste pregunta si desea permitirle el acceso a internet e le aplicación debe responder NO.

6. Busque el enlace “Leak Test” , descarguelo y ejecútelo.

Anote el resultado del Test:___________________________________.

7. Active nuevamente el Firewall de Windows en el panel de control.

8. Ejecute nuevamente el Leak Test. ¿Cuál fué el resultado ésta vez?. ¿Lo proteje el Firewall de

115

Windows ante este tipo de vulnerabilidades?_______________________________________________________.

9. Desactive nuevamente el Firewall de Windows.

10. Encuentre la dirección IP de su PC y anótela________________________________________________.

11. Pídale a otro grupo que haga “ping” a la dirección IP de su computador y anote el resultado:_____________________________________________________________________________.

12. Active nuevamente el Firewall de Windows.

13. Pídale al otro grupo que nuevamente haga “ping” a la dirección IP de su computador.¿ Qué efecto tiene el Firewall de Windows ante las solicitudes ICMP?

14. Desactive nuevamente el Firewall de Windows.

15. Ingrese a www.zonealarm.com. (Para minimizar el tiempo de descarga, DESCARGUELO del sitio del curso, en el menú ANTIVIRUS)

16. Descargue e instale ZoneAlarm GRATUITO. Pídale al instructor que le muestre el video de ayuda si todavía no lo ha hecho.

7. Ingrese NUEVAMENTE a www.grc.com y ejecute nuevamente el LeakTest. Recuerde que alutilizarlo, si el ZoneAlarm le indica que LeakTest está intentando conectarse a internet usteddebe indicarle que NO (denegar). Resultado:_________________

8. Repita nuevamente los pasos 10 y 11. Anote el resultado________________________________________.

RESUMA SUS PRINCIPALES CONCLUSIONES:

______________________________________________________________________________________________________________________________________________________________________

116

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________.

117

Instituto Tecnológico de Costa RicaEscuela de Ingeniería En Electrónica.

Programa de Técnicos en Mantenimiento y Reparación de PC´s

Curso: Diagnóstico y Virus Instructor: Ing. William Marin Morenowmarin@itcr.ac.cr. Tel 550-2120

Práctica: Troyano NetbusCuide de no iniciar la práctica hasta haber leído completamente el instructivo, en caso de dudas consulte a su profesor.

NetBus o Netbus es un programa para controlar remotamente un computador a través de la red. (backdoor).

Netbus posee dos componentes, ya que está diseñado para actuar como una aplicación cliente-servidor. El componente“server” es el que se instalará en el computador de la “víctima”, y puede ser instalado localmente, enviarse por correoelectrónico, o auto-ejecutarse desde un medio de almacenamiento externo, como un disco compacto o una memoria flashusb (la mal llamada “llave maya”).

El componente cliente lo ejecuta el “atacante”, y le brinda la posibilidad de controlar remotamente el servidor, además de:

1. Ver lo que el usuario digita.

2. Insertar texto no deseado en lo que el usuario digita.

3. Captura de la pantalla remota.

4. Apagar el sistema remoto.

5. Ejecutar programas. Ejecutar sonidos, etc.

Generalmente el servidor abrirá el puerto 12346 de TCP/UDP esperando conexiones. Además inserta una llave en elregistro de Windows (ver adelante) para ejecutarse cada vez que el sistema operativo se inicia.

\HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows\CurrentVersion\Run" normalmente con laopción "/nomsg".

118

1. A continuación se demostrarán las habilidades de los virus tipo troyano. Investigue antes en Internetel puerto TCP/UDP comunmente utilizado por el troyano conocido comoNETBUS.______________________________________________________.

2.. Abra el archivo de Winzip que le brinda el profesor, NO EJECUTE O ABRA NINGUNO DE LOSARCHIVOS QUE CONTIENE HASTA QUE SE LE INDIQUE HACERLO. Extraiga ambos archivos en el escritorio de su PC. NO ejecute ninguno de ellos!!!!Anote a continuación el nombre de los archivos y haga un dibujo del ícono que los representa:

Nombre / extensión del archivo Ícono

3. Verifique los puertos TCP/UDP que su PC tiene abiertos y anótelos.___________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________.

Presione CTRL-ALT_DELETE y en el administrador de tareas verifique la lista de procesos que actualmente se están ejecutando en su PC (puede utilizar PRCVIEW si lo desea, pregunte a su profesor). Anotelos!!!___________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________.

Ejecute el archivo “CLIENTE”, debe abrirse un programa como el que aparece en la página siguiente

4.Puede deducir el funcionamiento de algunos de los botones que aparecen?, anote un par de ejemplos a continuación:

_________________________________________________________________________________.

119

5. A continuación debe trabajar en conjunto con el equipo que se encuentre a su lado, pídale a sus integrantes que ejecuten el archivo “SERVER” y detalle lo que ocurre al ejecutarlo:_______________________________________________________________________________________________________________________________________________________________________________________________________________.¿Cuáles puertos TCP/UDP nuevos se abrieron ahora? Compárelos con los que anotóantes:________________________________________________________.

Abra el editor del registro de windows (regedit) y busque la llave donde se establece que el servidor seejecute automáticamente cuando Windows inicia.__________________________________________________________________________________________________________________________________________.

6. Presione la combinación de teclas CTRL-ALT-SUPR y busque en el administrador de tareas si seencuentra la aplicación “server” corriendo en su PC (o la del otroequipo).______________________________________________________________.

7. Pídale al otro equipo que le indique la dirección IP de la PC que utilizan yanótela:_____________________________________________________________.

8. Pídale al otro equipo que revise cuáles puertos TCP / UDP tiene abiertos en la PC yanótelos:______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________.

9. Introduzca la dirección IP de sus compañeros en la casilla Hostname / IP de la consola de Netbus yluego presione Connect!. Qué indica el programa en la esquina inferiorizquierda?:_____________________________________________________.

120

10. A jugar !!!. Manipule la PC de sus compañeros y anote lo que puede hacer con ésta utilidad, noolvide utilizar el PORT SCANNER de Netbus (pida ayuda a su profesor.).Anote las cosas que pudo hacer y su opinión sobre la “peligrosidad” de éste tipo de programas.

____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________.

Comandos disponibles:

Host name /IP: aquí deberás digitar la dirección IP de la víctima y luego presionar Connect !.

Server admin: Aquí se puede cambier el puerto TCP en el que se instala es servidor oprotegerlo con contraseña.

Open CD-Rom: abre el CD-ROM.

Show image: te permite mostrarle una imágen en formato JPG a la víctima.

Swap mouse: intercambia los botones del ratón.

Start program: ejecutar un programa.

Msg manager: enviar mensajes de error de Windows a la víctima.

Screendump: captura lo que está en pantalla de la víctima y lo envia en formato JPG.

Get info: información sobre el login del servidor.

Play sound: ejecutar cualquier archivo de sonido que este en formato WAV.

Exit Windows: cierra Windows, por lo que desconecta al usuario.

Send text:enviar texto

Active winds: te muestra los programas que se estan ejecutando en el computador víctima.

Mouse pos: permite cambiar la posición del puntero del ratón.

Listen: muestra lo que la otra persona está tecleando.

Sound System: graba el sonido mediante el micrófono y lo envia en formato WAV.

Server setup: permite ponerle un password al servidor de esta forma sólo puede introducirseen la máquina el que conozca dicho password. Incluso no avisa por e-mail cuando la víctimaestá conectada.

Control mouse: maneja el puntero del mouse.

121

Go to URL: se ejecuta el navegador y abre la página que le hemos especificado.

Key manager: desactiva las teclas del teclado que se le indique.

File manager: muestra el contenido del disco duro víctima y permite subir o bajar archivos eincluso borrarlos.

Remover el servidor

Ingresar al editor del registro

Ir a

HKEY_CURRENT_USER - Software - Microsoft - Windows - CurrentVersion - Run

Alli estará el Troyano !! con extensión .exe y al final del mismo pondrá "/nomsg"(sin las comillas). , puede que se encuentre además en:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Anote el nombre del archivo y el directorio donde se encuentra; ahora lo único que se debe hacer es borrarlo.

El último paso que queda es ir al directorio donde se encuentra el servidor y borrarlo definitivamente del disco duro.

122

Instituto Tecnológico de Costa RicaEscuela de Ingeniería Electrónica

Mediciones de Ancho de Banda

(velocidad de conexión a Internet). v 03_09

Instructor: Ing. William Marín Moreno.

Introducción.

Una de las interrogantes de

cualquier usuario que paga por un

servicio de conexión a Internet

para su casa o empresa es “¿está

mi proveedor de servicios

brindándome la velocidad por la

que pago?”. Existen algunas

herramientas en línea que

permiten determinar, en forma

aproximada, el ancho de banda

con el que contamos en

determinado instante, pero antes

de ello, algunas aclaraciones:

1. La mayoría de los servicios que se contratan para el hogar (como ADSL o Cable-

Módem) son de tipo asimétrico, es decir, que la velocidad de bajada (de Internet hacia

el usuario) es distinta de la velocidad de subida (del usuario hacia Internet).

Generalmente ésta última es la menor dado que el usuario descarga de Internet una

cantidad mayor de información que la que envía.

2. Cada tipo de conexión utiliza diversos protocolos (PPP, TCP/IP) que requieren un

123

porcentaje del total del ancho de banda para su funcionamiento. Esto hace que el

ancho de banda útil para descarga o envío de información disminuya respecto al valor

teórico máximo.

3. Existen otros factores que afectan directamente al rendimiento de la conexión:

a. Hora del día. Existen momentos en los que muchos usuarios del mismo proveedor

de servicios se encuentran activamente (descargando información) conectados.

b. Congestión de Internet, del sitio que se visita, o de su proveedor de servicios en

un momento específico.

c. La ejecución de otros programas y/o descargar archivos al mismo tiempo que se

realiza la prueba de velocidad.

d. Troyanos, Backdoors, Root-Kits y todo tipo de Malware que de alguna manera

utilice su conexión de Internet.

4. Como resultado final, la mayoría de las pruebas de velocidad de conexión muestran la

velocidad de transferencia de información entre el centro donde está alojado el

programa de pruebas y el computador desde el que se le ejecute.

5. La velocidad de transferencia puede considerarse óptima cuando se obtiene al menos

el 75% de la velocidad teórica máxima.

6. Las pruebas de velocidad no miden la velocidad de acceso a páginas comerciales, las

cuales pueden ser objeto de almacenamientos intermedios (caching), proporcionando

al usuario de esas páginas una mayor velocidad aparente.

7. Si se realizan pruebas en forma consecutiva, los resultados obtenidos pueden cambiar

en cada momento ya que como se ha mencionado hay muchos elementos diferentes

que pueden variar de un instante a otro.

8. La velocidad de transferencia en comunicaciones se mide generalmente en bits por

segundo (bps). Cuando se utiliza el termino kilobits_por_segundo (Kbps con b

minúscula) se está hablando de 1.000 bits por segundo, sin embargo, cuando se

utiliza el término kilobytes_por_segundo (KBps con B en mayúsculas) se refiere a

1000 Bytes por segundo, donde 1Byte = 8bits.

124

9. En los sistemas informáticos para medir unidades de memoria o capacidad de

almacenamiento el significado de Kilo es distinto a cuando se habla de velocidad de

transmisión. En velocidad de transmisión un Kilo es 1000 mientras que en informática

(memoria, almacenamiento) un Kilo es 1024 (da igual que sean bits o bytes). Esta

diferencia da lugar a numerosos errores de interpretación.

Herramientas de medición de ancho de banda.

La mayoría de proveedores de servicios de Internet (ISP por sus siglas en inglés) poseen

herramientas en línea que permiten determinar, con cierto margen de error, la velocidad de

conexión con un usuario. Dichas herramientas básicamente permiten que se intercambie una

pequeña cantidad de información entre el computador del usuario y los servidores del ISP, y

midiendo el tiempo que tarda la información en cada trayecto se puede entonces determinar

la velocidad.

Una vez que el usuario inicia la prueba, se anota el tiempo de comienzo en segundos (TC),

se descarga el archivo, se anota el tiempo de fin de la descarga (TF=getTime()) y el tamaño

del archivo N en bits ( Para pasar el tamaño de un archivo de KiloBytes a Bits hay que

multiplicar por 1.024 y luego por 8).5

La velocidad (V) se calcula como el cociente entre el tiempo que dura la descarga y el

numero de bits que tiene el archivo descargado:

Se puede concluir que la medida de velocidad que se obtiene es válida y real para el

usuario que la realiza y de orientación para el resto de la comunidad que accede a ellas a

través de la base de datos de resultados. El grado de fiabilidad de estos resultados ira

creciendo a medida que aumente el número de medidas que se realicen para cada

proveedor.

A continuación se detallan varias herramientas disponibles para probar la conectividad con

proveedores de servicio en Costa Rica.

Speed Test

5 http://aui.es/aui_test/preguntas_frecuentes.htm

125

Disponible en el URL: http://www.speedtest.net/

Aunque Speedtest no es un proveedor de servicios, ofrece pruebas gratuitas de velocidad en

línea, y almacena estadísticas de diferentes usuarios y proveedores a nivel mundial para su

consulta y comparación. En las siguientes figuras se puede apreciar el procedimiento y los

resultados obtenidos al realizar la prueba en una conexión residencial asimétrica con Cable-

módem de 1Mbps/256Kbps ubicada en la provincia de Cartago.

Figura 1. Selección del servidor más cercano (Costa Rica).

Figura 2. Luego de realizada la prueba de ping6 se realiza la prueba de descarga de información (del servidoral usuario).

6 Se utiliza el protocolo ICMP para enviar una pequeña cantidad de información entre el usuario y el ISP y se determina eltiempo de ida y regreso, llamado latencia. 14 ms en este caso.

126

Figura 3. Realizando la prueba de envío de información desde el usuario al servidor.

Figura 4. Resultado final de la prueba: 981kbps (para la teórica de 1000kbps) y 238 kbps para la teóricade 256 kbps.

127

Figura 5. El sitio permite compartir y comparar las pruebas con otros usuarios y otros ISP del área.

AmnetDisponible en el URL: http://test.amnet.co.cr/ .

Compañía de televisión por cable, conocida antiguamente como

Cable Color Televisión y posteriormente adquirida por la empresa

norteamericana Amzak International.

AMNET ofrece una serie de servicios tecnológicos y de entretenimiento familiar de

excepcional calidad: entre ellos; el sistema de televisión por cable más completo de la región

con una programación que incluye más de 60 de los mejores canales internacionales; otro

servicio es el de Internet de RACSA vía Cable Módem, sistema que transfiere información a

alta velocidad a través de la red de televisión por cable de AMNET y disfrutar de todas las

emociones y beneficios de la INTERNET; y para completar nuestros servicios de

entretenimiento, el sistema Amnet Digital, una moderna plataforma mucho más amigable de

televisión interactiva que se adquiere con un pago adicional al servicio básico de televisión

128

por cable y la compra de un decodificador digital; con este servicio el usuario tiene acceso a

compra Pay Per View de películas, 50 canales de audio con lo mejor de la música con

calidad digital y el sistema de bloqueos de programación para padres7.

En las siguientes figuras se puede apreciar el procedimiento y los resultados obtenidos al

realizar la prueba en una conexión residencial asimétrica con Cable-módem de

1Mbps/256Kbps ubicada en la provincia de Cartago.

Es importante hacer notar que la línea que se mide fue contratada precisamente a ésta

compañía, pero que realmente el proveedor del servicio de Internet no es AMNET sino

Radiográfica Costarricense. La compañía de cable solamente se encarga del transporte de

los datos hasta el usuario final.

Figura 6. Al ingresar al URL, se debe digitar amnetcr como usuario y contraseña (¿Porqué protegen elacceso a ésta prueba?).

Figura 7. Se debe presionar el botón BEGIN TEST para iniciar la prueba. Nótese el logo en la esquinainferior derecha de Ookla Net Metrics8 .

7 Historia de AMNET disponible en: http://www.amnet.co.cr 8 www.ookla.com . La misma empresa desarrolladora de SpeedTest.net

129

Figura 8. Realizando la prueba de ping.

Figura 9. Resultado final de la prueba: 1004kbps (teórica de 1000kbps) y 244kps (teórica de 256kbps).

130

Nótese que también se brindan resultados en kBps

RACSA (Radiográfica Costarricense)Parte del grupo de empresas del Instituto Costarricense de Electricidad, ICE, Radiográfica

Costarricense S.A. (RACSA) inauguró en abril de 1994 el servicio de Internet en términos

comerciales en el país.

En las siguientes figuras se puede apreciar el procedimiento y los resultados obtenidos al

realizar la prueba en una conexión residencial asimétrica con Cable-módem de

1Mbps/256Kbps ubicada en la provincia de Cartago. Cabe notar que RACSA es el ISP en

éste caso, pero el transporte de los datos es de AMNET.

La herramienta se encuentra disponible en el URL: https://www.speed.racsa.co.cr . Dado que

se trata de un sitio seguro, se debe primeramente instalar un certificado de seguridad.

Es importante recalcar también, que de las herramientas que se probaron, la de RACSA es la

que presenta resultados más variables, algunas veces superando incluso la velocidad teórica

máxima, por eso se detalla el resultado de tres pruebas consecutivas.

Figura 10. Resultado de la primera prueba: 1945,5 kbps (teórica máxima de 1000kbps). Nótese que no sedispone de la velocidad de subida.

131

Figura 11. Resultado de la segunda prueba: 990,8 kbps (teórica máxima de 1000kbps). Nótese que no sedispone de la velocidad de subida.

Figura 12. Resultado de la tercera prueba: 1468.1 kbps (teórica máxima de 1000kbps). Nótese que no sedispone de la velocidad de subida.

GrupoICE

132

En las siguientes figuras se puede apreciar el procedimiento y los resultados obtenidos al

realizar la prueba en una conexión residencial asimétrica con Cable-módem de

1Mbps/256Kbps ubicada en la provincia de Cartago.

La herramienta se encuentra disponible en el URL:

http://grupoice.com/esp/serv/tele_comp/adsl/medidor_ab.htm

Figura 13. Resultado de la prueba 1015.3 kbps (teórica de 1000kbps)

133

Instituto Tecnológico de Costa RicaEscuela de Ingeniería En Electrónica.

Programa de Técnicos en Mantenimiento/Reparación de PC´s

Curso: Diagnóstico y VirusInstructor: Ing. William Marin Moreno

Consola de recuperación de Windows XPv 09/08

La Consola de Recuperación en su línea de comandos, pero puede ser utilizada para recuperarnos de serios problemas de inicio, accediendo a ella como usuario con derechos administrativos.

La ejecución de la Consola de Recuperación se puede llevar a cabo de dos maneras:

Iniciándola directamente desde el CD de Windows XP.Instalándola en nuestro sistema y accediendo a ella desde el menú de inicio

INICIO DE LA CONSOLA DESDE EL CD DE WINDOWS XP

Cambiamos la secuencia de arranque de nuestro equipo desde las opciones Advance BIOS Features de nuestra BIOS y colocamos el CD como primer dispositivo de lectura en el arranque oreinicio First Boot DeviceColocamos el CD de Windows XP en su bandeja y reiniciamos nuestro equipoPulsamos cualquier tecla para iniciar desde CD (veras un aviso en el extremo inferior de la pantalla Presiona cualquier tecla para iniciar desde el CD)Esperamos a la carga de archivosAparecerá la pantalla de instalación de Windows XP y seleccionamos la opción del medio Para recuperar una instalación de Windows XP usando la consola de recuperación, presiona la tecla RSi tenemos multiarranque, seleccionaremos el sistema a recuperar mediante el numeral correspondiente al que este asociado en la pantallaTe solicitará posteriormente la contraseña de administrador que pusiste cuando instalaste el sistema por primera vez Para ver los comandos, desde la pantalla de la Consola de Recuperación, escribe help, una vez obtenidos, puedes ver una descripción de los mismos escribiendo help comandoPara salir de la Consola de Recuperación y reiniciar el equipo, escribiremos exit.

INSTALACIÓN DE LA CONSOLA DE RECUPERACIÓN EN EL MENU DE INICIO

Colocamos el CD de Windows XP en su unidad y desde Inicio ?> Ejecutar, escribimos:

134

X:i386winnt32.exe /cmdconsDonde ?X? corresponde a la letra de la unidad donde se encuentra el CD.Aparecerá un mensaje del programa de instalación que describe la opción de la Consola de Recuperación, el espacio que requiere en el disco duro y la pregunta: Desea instalar la Consola de Recuperación?Pulsamos SI y la próxima vez que arranquemos nuestro equipo, tendremos en el menú de arranque la opción de la Consola de Recuperación.Una de las mayores ventajas de la Consola de Recuperación respecto por ejemplo al modo seguro,es que esta, nos permite acceder incluso en el caso que existan archivos corruptos y desde la misma es posible realizar las siguientes opciones:

- Copiar, cambiar, reemplazar, cambiar el nombre de archivos y carpeta de XP- Activar o desactivar Servicios o dispositivos- Crear y dar formato a unidades- Reparar el sector de arranque- Reparar el sistema desde un CD

RESTRICCIONES

Solo será posible acceder a los archivos que se encuentren en las siguientes ubicaciones:

- El directorio raíz de cualquier volumen

- La carpeta %SystemRoot% y las carpetas que cuelgan de ella donde XP se haya instalado (C:Windows por regla general)

- La carpeta Cmdcons de la Consola de Recuperación y sus subcarpetas (solo si hemos instalado laConsola de Recuperación como opción en el menú de inicio)

- Loas archivos y carpetas que se encuentran en discos extraíbles (CD, ZIP,disquetes)

REPARAR ARCHIVOS DE ARRANQUE DAÑADOS

Archivo boot.ini esta dañado o no aparece, desde la Consola de Recuperación, escribimos:

- bootcfg/scan para ver las instalaciones de XP disponibles en todos los discos- bootcfg/rebuild para reemplazar automáticamente el archivo boot.ini existente- bootcfg/add para añadir una instalación de XP a boot.ini sin cambiar las entradas existentes.

Archivos críticos del sistema están dañados o no están:

Podemos restaurar los archivos Ntldr, Ntoskrnl.exe, Ntdetect.com y controladores en función de su ubicación, si el archivo esta en el CD de XP, podemos usar el comando copy especificando origen y destino.Windows abre automáticamente los archivos comprimidos, en el caso que estos se encuentren en un archivo *.cab, deberemos utilizar el comando expand.

Otro sistema ha reemplazado el código del sector de arranque:

Escribiremos: Fixboot

135

Para rescribir el código del sector de arranque, deberemos reiniciar el sistema.

ACTIVAR-DESACTIVAR SERVICIO Y CONTROLADORES

Debemos saber que no todos los servicios de XP pertenecen al sistema, algunos de ellos son instalados por terceros, por ejemplo, Nvidia, así como los controladores.Algunas veces estos servicios y controladores de terceros, no están escritos o programados de manera eficiente y causan problemas en XP generando reinicios o paradas del sistema incluso entrando al mismo en ?modo seguro?.

Con la Consola de Recuperación, podremos por ejemplo desactivar un servicio si sospechamos quees el causante del problema y no podemos acceder al sistema en ?modo seguro?.

Listsvc Con este comando, podemos ver una lista de los servicios y controladores del sistema y su estado actual

Disable Con este comando, seguido del nombre del controlador o servicio, podremos detenerlo. Este comando define el tipo de inicio del servicio como service_disabled, así que antes de hacerlo, deberemos consultar el valor del tipo de inicio actual del servicio a deshabilitar: service_boot_start, service_system_start, service_auto_start o service_demand_start y tomar nota del mismo para el caso de volverlo a activar.

Enable Con este comando, seguido del nombre del servicio o controlador mas el valor del tipo de inicio que anotamos al deshabilitarlo, podremos volver a activar el servicio o controlador deshabilitado, una vez comprobado que no es el causante de nuestro problema.

COMANDOS DE LA CONSOLA DE RECUPERACIÓN

AttribCambia los atributos de archivo de un único archivo o directorio. Este comando establece o quita los atributos de sólo lectura, sistema, oculto y comprimido asignados a los archivos o a los directorios.El comando attrib con los parámetros que se enumeran a continuación sólo está disponible cuandose utiliza la Consola de recuperación. El comando attrib con distintos parámetros está disponible desde el símbolo del sistema.attrib [+r|-r] [+s|-s] [+h|-h] [+c|-c] [[unidad:][rutaDeAcceso] nombreDeArchivo]

Parámetros+r Establece el atributo de archivo de sólo lectura. -r Quita el atributo de archivo de sólo lectura. +s Establece el atributo de archivo del sistema. -s Quita el atributo de archivo del sistema. +h Establece el atributo de archivo oculto. -h Quita el atributo de archivo oculto. +c Establece el atributo de archivo comprimido. -c Quita el atributo de archivo comprimido. [[unidad:][rutaDeAcceso] nombreDeArchivo]Especifica la ubicación y el nombre del archivo o el directorio que desea procesar. Puede cambiar los atributos para sólo un archivo o un directorio cada vez.

Nota- Puede cambiar varios atributos para un archivo o un directorio determinados con un único comando.

136

BatchEjecuta los comandos especificados en un archivo de texto. El comando batch sólo está disponible cuando se utiliza la Consola de Recuperacion, que se puede iniciar desde el CD de instalación.batch archivoDeEntrada [archivoDeSalida]

ParámetrosarchivoDeEntradaEspecifica el archivo de texto que contiene la lista de comandos que se van a ejecutar. archivoDeEntrada puede constar de una letra de unidad seguida de un signo de dos puntos, un nombre de directorio, un nombre de archivo o una combinación de ellos.archivoDeSalidaSi se especifica alguno, almacena el resultado de los comandos en el archivo citado. Si no se especifica este parámetro, el resultado se presentará en la pantalla.EjemploEl ejemplo siguiente ejecuta el archivo de proceso por lotes C:TrabajosBuscar.txt y almacena el resultado en el archivo C:TrabajosResultados.txt:batch c: rabajosuscar.txt c: rabajos esultados.txt

Nota· Un archivo por lotes no puede contener un comando batch anidado.

BootcfgUtilice el comando bootcfg para la configuración y recuperación de inicio (boot.ini en la mayoría delos equipos).El comando bootcfg con los parámetros que se enumeran a continuación sólo está disponible cuando se utiliza la Consola de recuperación. El comando bootcfg con distintos parámetros está disponible desde el símbolo del sistema.

Uso:bootcfg /defaultEstablece la entrada de inicio predeterminada.bootcfg /add Agrega una instalación de Windows a la lista de inicio. bootcfg /rebuild Se repite en todas las instalaciones de Windows y permite al usuario elegir qué elementos agregará.

Nota- Antes de utilizar bootcfg /rebuild debe haber hecho previamente una copia de seguridad del archivo boot.ini mediante bootcfg /copy. bootcfg /scanAnaliza todos los discos para encontrar instalaciones de Windows y muestra los resultados.

Nota- Estos resultados se almacenan estáticamente durante la sesión actual. Si la configuración del disco cambia durante esta sesión, deberá reiniciar el equipo y volver a examinar los discos para poder obtener un recorrido actualizado.bootcfg /listEnumera las entradas ya incluidas en la lista de inicio.bootcfg /disableredirectDeshabilita la redirección en el cargador de inicio.bootcfg /redirect [velocidadBaudiosPuerto] | [utilizarConfiguraciónBios]Habilita la redirección en el cargador de inicio con la configuración especificada.

137

Ejemplo: bootcfg /redirect com1 115200bootcfg /redirect useBiosSettings

Chdir (Cd)Muestra el nombre del directorio actual o cambia la carpeta actual.El comando chdir o cd con los parámetros que se enumeran a continuación sólo está disponible cuando se utiliza la Consola de recuperación. El comando chdir con distintos parámetros está disponible desde el símbolo del sistema.chdir [unidad:][rutaDeAcceso] [..]o biencd [unidad:][rutaDeAcceso] [..]

Parámetros ningunoSi utiliza el comando chdir sin parámetros, muestra el nombre de la carpeta y la unidad actuales. Si lo utiliza solamente con una letra de unidad (por ejemplo, cd C:), chdir muestra el directorio actual de la unidad especificada.[unidad:][rutaDeAcceso]Especifica la unidad (si es distinta de la unidad actual) y el directorio a los que desea cambiar. [..]Especifica que desea cambiar a la carpeta principal. Utilice un espacio en blanco entre chdir y el signo de dos puntos.

Notas· Chdir trata los espacios como delimitadores. Utilice comillas alrededor de un nombre de directorio que contenga espacios en blanco. Por ejemplo: cd "caché de controladores"· Chdir funciona únicamente dentro de los directorios del sistema de la instalación actual de Windows, en los medios extraíbles, en el directorio raíz de cualquier partición de disco duro o en los orígenes de la instalación local.

ChkdskCrea y muestra un informe de estado del disco duro. El comando chkdsk también enumera y corrige los errores del disco.El comando chkdsk con los parámetros que se enumeran a continuación sólo está disponible cuando se utiliza la Consola de recuperación. El comando chkdsk con distintos parámetros está disponible desde el símbolo del sistema.chkdsk [unidad:] [/p] [/r]

Parámetros ningunoSi se utiliza sin parámetros, chkdsk muestra el estado del disco de la unidad actual.unidad: Especifica la unidad que se desea comprobar mediante chkdsk. /p Realiza una comprobación exhaustiva aunque la unidad no esté marcada para que se ejecute chkdsk. Este parámetro no realiza cambios en la unidad./rEncuentra los sectores defectuosos y recupera la información que sea legible. Implica /p.

Nota· El comando chkdsk requiere el archivo Autochk.exe. Si no lo puede encontrar en el directorio de inicio (\%systemroot%System32, de forma predeterminada), lo buscará en el CD de instalación

138

de Windows. Si dispone de un equipo de inicio múltiple, asegúrese de especificar este comando desde la unidad que contiene Windows.

ClsBorra la pantalla. La pantalla mostrará únicamente el símbolo del sistema y el punto de inserción. cls

ParámetrosNinguno

CopyCopia un archivo a otra ubicación. El comando copy con los parámetros que se enumeran a continuación sólo está disponible cuando se utiliza la Consola de recuperación. El comando copy con distintos parámetros está disponible desde el símbolo del sistema.copy origen [destino]

Parámetros origen Especifica el nombre y la ubicación del archivo que se va a copiar. Origen puede constar de una letra de unidad y un signo de dos puntos, un nombre de directorio, un nombre de archivo o una combinación de ellos. destino Especifica la ubicación y el nombre del archivo o el conjunto de archivos donde se colocará la copia. Destino puede constar de una letra de unidad y un signo de dos puntos, un nombre de carpeta, un nombre de archivo o una combinación de ellos.

Notas· El origen puede ser medios extraíbles, cualquier directorio contenido en los directorios del sistema de la instalación actual de Windows, el directorio raíz de cualquier unidad, los orígenes deinstalación local o el directorio Cmdcons. · El destino puede ser cualquiera de las mismas ubicaciones que el origen, salvo los medios extraíbles. Si no se especifica un destino, la copia se realizará de forma predeterminada en el directorio actual. · Los archivos comprimidos del CD de instalación de Windows se descomprimen a medida que se copian. · Copy no acepta caracteres comodín.

Delete (Del)Elimina un archivo. El comando delete o del con los parámetros que se enumeran a continuación sólo está disponible cuando se utiliza la Consola de recuperación. El comando delete o del con distintos parámetros está disponible desde el símbolo del sistema.delete [unidad:][rutaDeAcceso] nombreDeArchivoo biendel [unidad:][rutaDeAcceso] nombreDeArchivo

Parámetros [unidad:][rutaDeAcceso] nombreDeArchivoEspecifica la ubicación y el nombre del archivo que desea eliminar.Nota· Delete funciona únicamente dentro de los directorios del sistema de la instalación actual de Windows, en los medios extraíbles, en el directorio raíz de cualquier partición de disco duro o en los orígenes de la instalación local.

139

DirMuestra una lista de los archivos y subdirectorios de un directorio. El comando dir con los parámetros que se enumeran a continuación sólo está disponible cuando se utiliza la Consola de recuperación. El comando dir con distintos parámetros está disponible desde el símbolo del sistema.dir [unidad:][rutaDeAcceso][nombreDeArchivo]

Parámetros [unidad:][rutaDeAcceso]Especifica la unidad y el directorio cuya lista desea ver. [nombreDeArchivo] Especifica el archivo o el grupo de archivos cuya lista desea ver. Pueden utilizarse varios nombres de archivo. Los nombres de archivo pueden separarse mediante espacios en blanco, comas o signos de punto y coma. Puede utilizar caracteres comodín (? y *) con el parámetro nombreDeArchivo para mostrar un grupo de archivos.Dir también muestra la etiqueta de volumen y el número de serie del disco, así como el número total de archivos enumerados, su tamaño acumulado y el espacio libre (en bytes) que queda en eldisco. Para cada archivo y subdirectorio, dir muestra la extensión del nombre de archivo, el tamaño en bytes del archivo, la fecha y la hora en que se modificó por última vez el archivo y los siguientes atributos, si procede:Abreviatura Atributod Directorioh Archivo ocultos Archivo del sistemae Cifrador Sólo lecturaa Archivos listos para archivarc Comprimidosp Punto de análisis repetido

Nota· Dir funciona únicamente dentro de los directorios del sistema de la instalación actual de Windows, en los medios extraíbles, en el directorio raíz de cualquier partición de disco duro y en los orígenes de la instalación local.

DisableDeshabilita un servicio o un controlador de dispositivo del sistema de Windows XP, Windows 2000 o Windows NT 4.0. El comando disable sólo está disponible cuando se utiliza la Consola de recuperación.disable {nombreDeServicio] | [nombreDeControladorDeDispositivo}

ParámetrosnombreDeServicioEl nombre del servicio del sistema que desea deshabilitar.nombreDeControladorDeDispositivoEl nombre del controlador de dispositivo que desea deshabilitar.EjemploEl siguiente ejemplo deshabilita el servicio Registro de sucesos:disable eventlog

Notas- El comando disable establece el tipo de inicio como SERVICE_DISABLED para el servicio o el controlador que especifique.

140

- Cuando utilice el comando disable para deshabilitar un servicio del sistema o un controlador de dispositivo, el nombre del tipo de inicio anterior correspondiente al servicio del sistema o al controlador de dispositivo aparecerá en la pantalla. Debe anotar este nombre por si tiene que restaurar el tipo de inicio a su configuración anterior mediante el comando enable. - Hay cinco tipos de inicio: Los tres primeros, SERVICE_AUTO_START, SERVICE_DISABLED y SERVICE_DEMAND_START, corresponden a los tipos de inicio estándar (Automático, Deshabilitado y Manual) que suele configurar mediante Servicios en la herramienta administrativa Administración de equipos. Los dos últimos, SERVICE_BOOT_START y SERVICE_SYSTEM_START, se utilizan normalmente para configurar el modo en que se cargan los controladores de dispositivo; por ejemplo, cuando se inicia el equipo o cuando se inicia Windows.

DiskpartCrea y elimina particiones de discos duros. El comando diskpart sólo está disponible cuando se utiliza la Consola de recuperación.diskpart [/add | /delete] [nombreDeDispositivo | nombreDeUnidad | nombreDePartición] [tamaño]

ParámetrosningunoSi se utiliza sin parámetros, el comando diskpart inicia la versión en modo de caracteres de Windows de diskpart./addCrea una partición nueva./deleteElimina una partición existente.nombreDeDispositivoEl dispositivo en el que desea crear o eliminar una partición. El nombre se puede obtener del resultado del comando map. He aquí un ejemplo de un nombre de dispositivo:DeviceHardDisk0nombreDeUnidadLa partición que desea eliminar, por letra de unidad. Sólo se utiliza con /delete. A continuación se muestra un ejemplo de nombre de unidad:D:nombreDeParticiónLa partición que desea eliminar, por nombre de partición. Se puede utilizar en lugar de nombreUnidad. Sólo se utiliza con /delete. He aquí un ejemplo de nombre de partición:DeviceHardDisk0Partition1tamañoEl tamaño, en megabytes (MB), de la partición que desea crear. Sólo se utiliza con /add.EjemplosLos siguientes ejemplos eliminan una partición:diskpart /delete DeviceHardDisk0Partition3diskpart /delete F: El siguiente ejemplo agrega una partición de 20 MB al disco duro:diskpart /add DeviceHardDisk0 20

EnableHabilita o inicia un servicio un controlador de dispositivo del sistema de Windows XP, Windows 2000 o Windows NT 4.0. El comando enable sólo está disponible cuando se utiliza la Consola de recuperación.enable {nombreDeServicio | nombreDeControladorDeDispositivo} [tipoDeInicio]

141

ParámetrosnombreDeServicioEl nombre del servicio del sistema que desea habilitar.nombreDeControladorDeDispositivoEl nombre del controlador de dispositivo que desea habilitar.tipoDeInicioEl tipo de inicio que desea designar para el servicio o el controlador de dispositivo. Entre los tipos de inicio válidos se incluyen:· SERVICE_BOOT_START · SERVICE_SYSTEM_START · SERVICE_AUTO_START · SERVICE_DEMAND_START EjemploEl siguiente ejemplo establece el tipo de inicio para el servicio Registro de sucesos como Automático o SERVICE_AUTO_START:enable eventlog service_auto_start

Notas· Si no designa un tipo de inicio, el comando enable muestra el tipo de inicio actual para el servicioo el controlador de dispositivo que especificó en nombreDeServicio. · Cuando utilice el comando enable para cambiar un tipo de inicio, el nombre del tipo de inicio anterior aparecerá en la pantalla. Debe anotar este nombre por si tiene que restaurar el tipo de inicio a su configuración anterior.

ExitCierra la Consola de recuperación y reinicia el equipo. El comando exit está disponible cuando utiliza la Consola de recuperación.exit

Parámetrosninguno

ExpandExtrae un archivo de un archivo comprimido. Utilice este comando para extraer un archivo de controlador de un archivo contenedor (.cab) o un archivo comprimido.El comando expand con los parámetros que se enumeran a continuación sólo está disponible cuando se utiliza la Consola de recuperación. El comando expand con distintos parámetros está disponible desde el símbolo del sistema.expand origen [/F:especificaciónDeArchivo}] [destino] [/d] [/y]

ParámetrosorigenEspecifica el archivo que se va a expandir. Utilice este atributo si el archivo de origen sólo contieneun archivo. Origen puede constar de una letra de unidad y un signo de dos puntos, un nombre de directorio, un nombre de archivo o una combinación de ellos. No puede utilizar caracteres comodín./f:especificaciónDeArchivoSi el origen contiene más de un archivo, especifica el nombre del archivo que desea extraer. Puedeutilizar caracteres comodín para los archivos que desea extraer.destinoEspecifica el directorio de destino y el nombre de archivo para el archivo extraído, o cada uno por separado./d

142

Muestra una lista de los archivos incluidos en el archivo contenedor sin expandirlo y sin extraer dichos archivos del mismo./ySuprime la pregunta de si desea sobrescribir archivos cuando expande o extrae archivos.EjemplosEl siguiente ejemplo extrae el archivo Msgame.sys del archivo contenedor Drivers de un CD de instalación y lo copia a C:WindowsSystemDrivers:expand d:i386driver.cab /f:msgame.sys c:WindowssystemdriversEl siguiente ejemplo expande el archivo comprimido Access.cp_:expand d:i386acces.cp_ c:Windowssystem32access.cplEl siguiente ejemplo enumera todos los archivos incluidos en el archivo contenedor Drivers del CD de instalación:expand /d d:i386driver.cab

Importante· El archivo contenedor Driver, que alberga la mayoría de los controladores suministrados por Windows, incluye miles de archivos. El proceso de expansión de todos los archivos desde este archivo contenedor al disco duro tardará algunos minutos y ocupará mucho espacio en disco. Se recomienda que de este archivo sólo extraiga el archivo que necesite.

Notas· Si no se ha especificado el destino, el archivo se copiará al directorio actual. · No puede especificar como destino un medio extraíble, por ejemplo una unidad de disco o un CD-ROM.

FixbootEscribe un nuevo sector de inicio de partición en la partición del sistema. El comando fixboot sólo está disponible cuando se utiliza la Consola de recuperación.fixboot [unidad]

ParámetrounidadLa unidad en la que se escribirá un sector de inicio. Reemplaza la unidad predeterminada, que es la partición del sistema en la que ha iniciado la sesión. A continuación se muestra un ejemplo de unidad:D:EjemploEl siguiente ejemplo escribe un nuevo sector de inicio de partición en la partición del sistema de launidad D:fixboot d:

Nota· Si utiliza el comando fixboot sin ningún parámetro, se escribirá un nuevo sector de inicio de partición en la partición del sistema en la que inició la sesión.

FixmbrRepara el registro de inicio maestro del disco de inicio. El comando fixmbr sólo está disponible cuando se utiliza la Consola de recuperacion.fixmbr [nombreDeDispositivo]

ParámetronombreDeDispositivoEl dispositivo (unidad) en el que se desea escribir un nuevo registro de inicio maestro. El nombre

143

se puede obtener del resultado del comando map. He aquí un ejemplo de un nombre de dispositivo:DeviceHardDisk0.EjemploEl siguiente ejemplo escribe un nuevo registro de inicio maestro en el dispositivo especificado:fixmbr DeviceHardDisk0

Notas- Si no especifica un nombreDeDispositivo, se escribirá un nuevo registro de inicio maestro en el dispositivo de inicio, que es la unidad en la que se carga el sistema principal. - Si se detecta una firma de tabla de particiones no estándar o no válida, el sistema le preguntará si desea seguir. Si no tiene problemas de acceso a las unidades, no debe continuar. Si escribe un registro de inicio maestro en la partición del sistema, podría dañar la tablas de particiones e imposibilitar el acceso a las particiones.

FormatFormatea la unidad especificada con el sistema de archivos especificado. El comando format con los parámetros que se enumeran a continuación sólo está disponible cuando se utiliza la Consola de recuperación. El comando format con distintos parámetros está disponible desde el símbolo delsistema.format [unidad:] [/q] [/fs:sistemaDeArchivos]

Parámetrosunidad: Especifica la unidad que desea formatear. No puede formatear un disquete desde la Consola de recuperación./q Realiza un formateo rápido de la unidad. No se comprueba si existen zonas dañadas en la unidad, por lo que sólo debe utilizar este parámetro en aquellas unidades que haya formateado previamente. /fs:sistemaDeArchivosEspecifica el sistema de archivos que se va a utilizar: FAT, FAT32 o NTFS. Si no especifica ningún sistema de archivos, se utilizará el formato del sistema de archivos existente.

HelpProporciona información en pantalla acerca de los comandos de la Consola de recuperación. help [nombreDeComando]

ParámetroningunoEnumera los comandos disponibles en la Consola de recuperación.nombreDeComando Proporciona información acerca del comando, incluidos los parámetros que puede utilizar con el comando

Nota: Existen dos maneras de obtener Ayuda en pantalla acerca de un comando. Puede especificar el nombre del comando a continuación del comando help o puede escribir el nombre del comando seguido del modificador /? en el símbolo del sistema. Por ejemplo, puede escribir cualquiera de los comandos siguientes para obtener información acerca del comando extract: help extractextract /?

Listsvc

144

Enumera los servicios y los controladores disponibles en el equipo. El comando listsvc sólo está disponible cuando se utiliza la Consola de recuperación.listsvcParámetrosNinguno

LogonInicia una sesión en una instalación de Windows. El comando logon sólo está disponible cuando seutiliza la Consola de recuperación.logon

Parámetrosninguno

NotasEl comando logon enumerará todas las instalaciones detectadas de Windows y solicitará la contraseña del administrador local de dicha instalación para iniciar la sesión. Después de tres intentos fallidos de inicio de sesión se cerrará la Consola de recuperación y se reiniciará el equipo.

MapMuestra la asignación de letras de unidad a nombres de dispositivos físicos. Esta información es útil cuando ejecuta los comandos fixboot y fixmbr. El comando map sólo está disponible cuando seutiliza la Consola de recuperación.Map [arc]

ParámetroarcIndica al comando map que muestre nombres de dispositivo Informática avanzada de RISC (ARC) en lugar de los nombres de dispositivo. A continuación se muestra un ejemplo de nombre de dispositivo ARC:multi(0)disk(0)rdisk(0)partition(1)El nombre de dispositivo equivalente es:\Device\HardDisk0\Partition1EjemploEl siguiente ejemplo asigna los nombres de dispositivo físico a las letras de unidad utilizando nombres de dispositivo ARC:map arc

NotasSi no utiliza el parámetro arc, el comando map muestra los nombres de dispositivo de Windows. El comando map muestra también el tipo de sistema de archivos y el tamaño de cada disco en megabytes (MB).

Mkdir (Md)Crea un directorio o un subdirectorio. El comando mkdir con los parámetros que se enumeran a continuación sólo está disponible cuando se utiliza la Consola de recuperación. El comando mkdir con distintos parámetros está disponible desde el símbolo del sistema.mkdir [unidad:]rutaDeAccesoo bienmd [unidad:]rutaDeAcceso

Parámetros unidad: Especifica la unidad en la que desea crear el nuevo directorio. rutaDeAcceso

145

Especifica el nombre y la ubicación del nuevo directorio. No puede utilizar caracteres comodín.

NotaMkdir funciona únicamente dentro de los directorios del sistema de la instalación actual de Windows, en los medios extraíbles, en el directorio raíz de cualquier partición de disco duro o en los orígenes de la instalación local.

MorePresenta el contenido de un archivo de texto. Utilice el comando more o type para examinar un archivo de texto sin modificarlo. El comando more con los parámetros que se enumeran a continuación sólo está disponible cuando se utiliza la Consola de recuperación. El comando more con distintos parámetros está disponible desde el símbolo del sistema.more [unidad:][rutaDeAcceso] nombreDeArchivoo bientype [unidad:][rutaDeAcceso] nombreDeArchivo

Parámetro [unidad:][rutaDeAcceso] nombreDeArchivoEspecifica la ubicación y el nombre del archivo que desea examinar.Si utiliza una unidad NTFS y el nombre de archivo contiene espacios en blanco, deberá escribir el nombre de archivo entre comillas (").

Net useConecta un recurso compartido de red a una letra de unidad. El comando net use con los parámetros que se enumeran a continuación sólo está disponible cuando se utiliza la Consola de recuperación. El comando net use con distintos parámetros está disponible desde el símbolo del sistema.Sintaxisnet use [\\nombreDeEquipo\nombreDeRecursoCompartido [/user:[nombreDeDominio\] nombreDeUsuario] contraseña] | [letraDeUnidad:] [/d]

Parámetros\\nombreDeEquipo\nombreDeRecursoCompartidoEspecifica el nombre del servidor y del recurso compartido. Si nombreDeEquipo contiene caracteres en blanco, escriba entre comillas el nombre completo del equipo, desde las dos barras diagonales inversas (\\) hasta el final del nombre del equipo. El nombre de equipo puede tener entre 1 y 15 caracteres./user:Especifica el nombre de usuario con el que se realiza la conexión. nombreDeDominioNombre de dominio que debe utilizarse al validar las credenciales del usuario.NombreDeUsuarioEspecifica el nombre de usuario con el que se iniciará la sesión.ContraseñaEspecifica la contraseña necesaria para tener acceso al recurso compartido. Déjela en blanco para que se le pida la contraseña. Los caracteres de la contraseña no se muestran en la pantalla a medida que los escribe./dIndica que esta conexión se va a desconectar.

Rename (Ren)Cambia el nombre de un archivo. El comando rename con los parámetros que se enumeran a continuación sólo está disponible cuando se utiliza la Consola de recuperación. El comando rename con distintos parámetros está disponible desde el símbolo del sistema.rename [unidad:][rutaDeAcceso] nombreDeArchivo1 nombreDeArchivo2

146

o bienren [unidad:][rutaDeAcceso] nombreDeArchivo1 nombreDeArchivo2Parámetros [unidad:][rutaDeAcceso] nombreDeArchivo1Especifica la ubicación y el nombre del archivo cuyo nombre desea cambiar. No puede utilizar caracteres comodín.nombreDeArchivo2 Especifica el nuevo nombre del archivo. No es posible indicar una unidad o una ruta de acceso nueva cuando se cambia el nombre de archivos.

Rmdir (Rd)Quita (elimina) un directorio. El comando rmdir con los parámetros que se enumeran a continuación sólo está disponible cuando se utiliza la Consola de recuperación. El comando rmdir con distintos parámetros está disponible desde el símbolo del sistema.rmdir [unidad:]rutaDeAccesoo bienrd [unidad:]rutaDeAcceso

Parámetros [unidad:]rutaDeAccesoEspecifica la ubicación y el nombre del directorio que desea eliminar. No puede utilizar caracteres comodín.

NotasEl directorio debe estar vacío o el comando no se ejecutará correctamente. Rmdir funciona únicamente dentro de los directorios del sistema de la instalación actual de Windows, en los medios extraíbles, en el directorio raíz de cualquier partición de disco duro o en los orígenes de la instalación local.

SetMuestra y establece las variables de entorno de la Consola de recuperación. El comando set es un comando opcional que debe utilizarse con plantillas de seguridad.El comando set con los parámetros que se enumeran a continuación sólo está disponible cuando se utiliza la Consola de recuperación. El comando set con distintos parámetros está disponible desde el símbolo del sistema.set [variable=[cadena]]

Parámetros variable Especifica la variable que desea establecer o modificar.La Consola de recuperación admite las siguientes variables de entorno:Variable DescripciónAllowWildCards Permite el uso de caracteres comodín con algunos comandos (como el comando del). AllowAllPaths Permite el acceso a todos los archivos y directorios del sistema.AllowRemovableMedia Permite copiar archivos a medios extraíbles, como un disco.NoCopyPrompt No pregunta nada al sobrescribir un archivo existente.

cadena Especifica la cadena que desea asociar a la variable especificada. EjemplosEl siguiente ejemplo le permite utilizar caracteres comodín con algunos comandos de la Consola de recuperación:set allowwildcards=trueEl siguiente ejemplo desactiva la pregunta cuando va a sobrescribir archivos:

147

set nocopyprompt=true

NotasCuando se utiliza sin parámetros, el comando set muestra las variables de entorno actuales. El comando set está deshabilitado de forma predeterminada. Para habilitar el comando set, utilice las plantillas de seguridad. El atributo Habilitar el comando Set para la Consola de recuperación seencuentra en el árbol de la consola, bajo Directiva de equipo local/Configuración del equipo/Configuración de Windows/Configuración de seguridad/Directivas locales/Opciones de seguridad. Todas las variables de entorno están establecidas de forma predeterminada como FALSE (Falso).

SystemrootEstablece el directorio actual en la carpeta raiz del sistema de la instalación de Windows en la que inició la sesión. El comando systemroot sólo está disponible cuando se utiliza la Consola de recuperación.systemroot

ParámetrosNinguno

TypePresenta el contenido de un archivo de texto. Utilice el comando type o more para examinar un archivo de texto sin modificarlo. El comando type con los parámetros que se enumeran a continuación sólo está disponible cuando se utiliza la Consola de recuperación. El comando type con distintos parámetros está disponible desde el símbolo del sistema.type [unidad:][rutaDeAcceso] nombreDeArchivoo bienmore [unidad:][rutaDeAcceso] nombreDeArchivo

Parámetro [unidad:][rutaDeAcceso] nombreDeArchivoEspecifica la ubicación y el nombre del archivo que desea examinar.Si utiliza una unidad NTFS y el nombre de archivo contiene espacios en blanco, deberá escribir el nombre de archivo entre comillas

148

Instituto Tecnológico de Costa RicaEscuela de Ingeniería En Electrónica.

Programa de Técnicos en Mantenimiento/Reparación de PC´s

Curso: Diagnóstico y VirusInstructor: Ing. William Marin Moreno

Recuperación de contraseñas en Windows XPv 09/08

Win XP: Cambiar/Borrar contraseña del AdministradorAUSTRUMI es un GNU/Linux Live CD pequeño (50MB aproximadamente) bootable.A más de alguna persona le ha pasado, olvidar la contraseña del Administrador (o de cualquier otrousuario). Con AUSTRUMI se puede cambiar o eliminar la contraseña en un sistema con Windows XP,Windows 2000 o Windows NT.Requerimientos

6. CD-ROM Virgen7. quemador de CD-ROM8. CPU - Intel-compatible (pentium o ulteriores)9. RAM - al menos 96 MB 10. Configurar el sistema para que inicie desde el CD-ROM

El método usa una distribución de Linux llamada Austrumi(http://sourceforge.net/projects/austrumi/), corre directamente desde el CD, así que nada se instalará en el Disco Duro.

Procedimiento

Asumiendo que se desea eliminar la contraseña del Administrador, es decir, dejarla en blanco. (Este métodoes mas efectivo que cambiar la contraseña por otra)

NOTA: A cada interacción Austrumi sugiere la opción por defecto que está entre corchetes ([]) y se ejecutapulsando Enter, si es otra opción deberás digitarla primero y luego presionar Enter.

Descargar la imagen de la distribución GNU/Linux AustrumiCopiar un CD-ROM virgen con la imagen descargada.Bootear el sistema con Austrumi.

149

Digitar: nt_passEnter (selecciona la partición, por defecto es 1)Enter (ruta del registro, por defecto es: WINDOWS/System32/config)Enter (Editar información de usuario y contraseña)Enter (Por defecto es el Administrador)n (contraseña nunca expira)* (contraseña en blanco)y (confirmar el cambio)! (salir)q (salir)y (guardar los cambios)n (correr nuevamente la aplicación)Quitar el CD-ROM y resetear el sistema

NOTA: Al momento de reiniciarse, el sistema hará una verificación de integridad de archivos (chkdsk).

150

Instituto Tecnológico de Costa RicaEscuela de Ingeniería En Electrónica.

Programa de Técnicos en Mantenimiento/Reparación de PC´s

Curso: Diagnóstico y VirusInstructor: Ing. William Marin Moreno

Reparar el Registro en Windows XPv09/08

Reparar Registro Windows XP En este artículo se describe cómo recuperar un sistema Windows XP que no se inicia debido a que el Registro está dañado. Este procedimiento no garantiza la recuperación completa del sistema a su estado anterior; sin embargo, al utilizarlo debería ser posible recuperar los datos.

En Windows XP es posible recuperar un Registro dañado. Los archivos de Registro dañados producen diferentes mensajes de error. Consulte en Knowledge Base los artículos acerca de mensajes de error relativos a problemas del Registro.

En este artículo se asume que los métodos de recuperación normales no han solucionadoel problema y que sólo se puede tener acceso al sistema mediante la consola de recuperación. Si existe una copia de seguridad de Recuperación automática del sistema (ASR, Automatic System Recovery), es la mejor opción para la recuperación; se recomienda que utilice la copia de seguridad ASR antes de intentar el procedimiento descrito en este artículo.

Nota: asegúrese de reemplazar completamente las cinco secciones del Registro. Si sólo reemplaza una o dos secciones, podrían surgir problemas adicionales, ya que el softwarey el hardware almacenan su configuración en múltiples ubicaciones del Registro.

Al iniciar o reiniciar un equipo basado en Windows XP, puede aparecer uno de los mensajes de error siguientes:

No se puede iniciar Windows XP porque el siguiente archivo está dañado o no se encuentra: \WINDOWS\SYSTEM32\CONFIG\SYSTEM

No se puede iniciar Windows XP porque el siguiente archivo está dañado o no se encuentra: \WINDOWS\SYSTEM32\CONFIG\SOFTWARE

Stop: c0000218 {Error del archivo de Registro} El Registro no puede cargar la sección (archivo): \SystemRoot\System32\Config\SOFTWARE o su registro o alternativo

En el procedimiento descrito en este artículo se utiliza la consola de recuperación (Restaurar sistema) y se indican por orden todos los pasos para garantizar que el proceso se complete correctamente. Una vez finalizado este procedimiento, el sistema

151

debería volver a un estado muy similar a aquel en el que se encontraba antes de producirse el problema. Si ha ejecutado alguna vez NTBackup y ha completado una recuperación del estado del sistema, no necesita seguir los procedimientos de las partes dos y tres; puede pasar a la parte cuatro.

Parte uno

En esta parte, iniciará la consola de recuperación, creará una carpeta temporal, hará unacopia de seguridad de los archivos existentes del Registro en una nueva ubicación, eliminará los archivos del Registro de su ubicación actual y, por último, copiará los archivos del Registro desde la carpeta de recuperación a la carpeta System32\Config.

Una vez finalizado este procedimiento, se crea un Registro que puede utilizar para volvera iniciar Windows XP. Ese Registro se creó y guardó durante la instalación inicial de Windows XP; por tanto, perderá los cambios y configuraciones realizados después de lainstalación.

Para completar la parte uno, siga estos pasos:

Inicie la consola de recuperación.

En el símbolo del sistema de la consola de recuperación, escriba las líneas siguientes y presione Entrar cuando finalice cada una de ellas:

md tmp copy c:\windows\system32\config\system c:\windows\tmp\system.bak copy c:\windows\system32\config\software c:\windows\tmp\software.bak copy c:\windows\system32\config\sam c:\windows\tmp\sam.bak copy c:\windows\system32\config\security c:\windows\tmp\security.bak copy c:\windows\system32\config\default c:\windows\tmp\default.bak

delete c:\windows\system32\config\system delete c:\windows\system32\config\software delete c:\windows\system32\config\sam delete c:\windows\system32\config\security delete c:\windows\system32\config\default

copy c:\windows\repair\system c:\windows\system32\config\system copy c:\windows\repair\software c:\windows\system32\config\software copy c:\windows\repair\sam c:\windows\system32\config\sam copy c:\windows\repair\security c:\windows\system32\config\security copy c:\windows\repair\default c:\windows\system32\config\default

Escriba exit para salir de la consola de recuperación. El equipo se reinicia.

Nota: en este procedimiento se asume que Windows XP está instalado en la carpeta C:\Windows. Si se encuentra en una ubicación diferente, asegúrese de cambiar C:\Windows por la carpeta Windows apropiada.

Si tiene acceso a otro equipo, para ahorrar tiempo copie el texto del paso dos y, a

152

continuación, cree un archivo de texto llamado, por ejemplo, CopiaReg1.txt. Para creareste archivo, ejecute el comando siguiente al iniciar el equipo en la consola de recuperación:

batch copiareg1.txt

El comando batch de la consola de recuperación permite procesar de forma secuencial todos los comandos escritos en un archivo de texto. Cuando se utiliza el comando batch,no es necesario escribir manualmente tantos comandos.

Parte dos

Para completar el procedimiento descrito en esta sección, debe iniciar sesión como administrador o como usuario administrativo (un usuario que dispone de una cuenta en el grupo Administradores). Si utiliza Windows XP Home Edition, puede iniciar sesión como usuario administrativo. En tal caso, debe iniciar Windows XP Home Edition en Modo a prueba de errores. Para iniciar el equipo con Windows XP Home Edition en Modo a prueba de errores, siga estos pasos:

Nota: imprima estas instrucciones antes de continuar. No podrá verlas después de iniciarel equipo en Modo a prueba de errores. Si utiliza el sistema de archivos NTFS, imprima también las instrucciones del artículo de Knowledge Base Q309531, al que se hace referencia en el paso siete.

Haga clic en Inicio-> Apagar -> Reiniciar -> Aceptar .

Presione la tecla F8.

En un equipo configurado para iniciarse en varios sistemas operativos, puede presionar F8 cuando aparezca el menú Inicio.

Utilice las teclas de dirección para seleccionar la opción apropiada del Modo a prueba de errores y, a continuación, presione ENTRAR.

Si dispone de un sistema de inicio dual o múltiple, utilice las teclas de dirección para seleccionar la instalación a la que desea tener acceso y, a continuación, presione ENTRAR.

En la parte dos, va a copiar los archivos de Registro desde la ubicación en la que se ha realizado la copia de seguridad mediante Restaurar sistema. Esta carpeta no está disponible en la consola de recuperación y no suele estar visible durante el uso normal. Antes de iniciar este procedimiento, debe cambiar algunas opciones de configuración para poder ver la carpeta:

Inicie el Explorador de Windows.

En el menú Herramientas, haga clic en Opciones de carpeta->Pestaña Ver-> Archivos y carpetas ocultos, haga clic para activar Mostrar archivos y carpetas ocultos y, después clic para desactivar la casilla de verificación Ocultar archivos protegidos del sistema operativo (recomendado).

Haga clic en Sí cuando aparezca el cuadro de diálogo que pide confirmación de que desea mostrar estos archivos.

153

Haga doble clic en la letra de la unidad en la que instaló Windows XP para obtener una lista de las carpetas. Es importante hacer clic en la unidad correcta.

Abra la carpeta System Volume Information. Esta carpeta aparece atenuada porque se trata de una carpeta ultra-oculta.

Nota: esta carpeta contiene una o más carpetas _restore {GUID}, como _restore{87BD3667-3246-476B-923F-F86E30B3E7F8}.

Nota: es posible que aparezca el mensaje de error siguiente: No se puede tener acceso a C:\System Volume Information. Acceso denegado.

Si aparece este mensaje, consulte el artículo siguiente en Microsoft Knowledge Base paraver las instrucciones de acceso a la carpeta y poder continuar con el procedimiento:

309531 How to Gain Access to the System Volume Information Folder

Abra una carpeta que no se haya creado en este momento. Quizás tenga que hacer clic en Detalles en el menú Ver para mostrar la fecha y hora de creación de las carpetas. Bajo esta carpeta puede haber más de una subcarpeta que comience por "RP x. Se tratade puntos de restauración.

Abra una de las carpetas para localizar la subcarpeta Snapshot; la ruta de acceso siguiente es una ubicación de la carpeta Snapshot de ejemplo:

C:\System Volume Information\_restore{D86480E3-73EF-47BC-A0EB-A81BE6EE3ED8}\RP1\Snapshot

Copie los archivos siguientes de la carpeta Snapshot a la carpeta C:\Windows\Tmp:

_REGISTRY_USER_.DEFAULT

_REGISTRY_MACHINE_SECURITY

_REGISTRY_MACHINE_SOFTWARE

_REGISTRY_MACHINE_SYSTEM

_REGISTRY_MACHINE_SAM

Éstos son los archivos de Registro de los que se hizo una copia de seguridad en Restaurar sistema. Como se utilizó el archivo de Registro creado por el programa de instalación, ese Registro no sabe que los puntos de restauración existen y están disponibles. Se crea una nueva carpeta con un nuevo GUID en System Volume Information, así como un punto de restauración que incluye una copia de los archivos delRegistro copiados durante la parte uno. Esto se debe a que es importante no utilizar la carpeta más actual, especialmente si la marca de fecha y hora de la carpeta es la mismaque la fecha y hora actual.

La configuración actual del sistema no conoce los puntos de restauración anteriores. Paraque los puntos de restauración anteriores estén disponibles, se necesita una copia anterior del Registro efectuada desde un punto de restauración anterior.

154

Los archivos de Registro que se copiaron a la subcarpeta Tmp de la carpeta C:\Windows se mueven para garantizar que estén disponibles en la consola de recuperación. Necesitautilizar esos archivos para reemplazar los archivos del Registro almacenados actualmente en la carpeta C:\Windows\System32\Config. De forma predeterminada, la consola de recuperación no tiene acceso a todas las carpetas y no puede copiar archivos de la carpeta System Volume.

Nota: en el procedimiento descrito en esta sección se asume que se ejecuta el sistema de archivos FAT32 en el equipo. Parte tres

En esta parte, va a eliminar los archivos del Registro existentes y, después, va a copiar los archivos de Registro de restauración del sistema en la carpeta C:\Windows\System32\Config:

Inicie la consola de recuperación.

En el símbolo del sistema de la consola de recuperación, escriba las líneas siguientes y presione ENTRAR cuando finalice cada una de ellas:

del c:\windows\system32\config\sam

del c:\windows\system32\config\security

del c:\windows\system32\config\software

del c:\windows\system32\config\default

del c:\windows\system32\config\system

copy c:\windows\tmp\_registry_machine_software c:\windows\system32\config\software

copy c:\windows\tmp\_registry_machine_system c:\windows\system32\config\system

copy c:\windows\tmp\_registry_machine_sam c:\windows\system32\config\sam

copy c:\windows\tmp\_registry_machine_security c:\windows\system32\config\security

copy c:\windows\tmp\_registry_user_.default c:\windows\system32\config\default

Nota: algunas de las líneas de comandos anteriores se han ajustado para que resulten legibles.

Nota: en este procedimiento se asume que Windows XP está instalado en la carpeta C:\Windows. Si se encuentra en una ubicación diferente, asegúrese de cambiar C:\Windows por la carpeta Windows apropiada.

Si tiene acceso a otro equipo, para ahorrar tiempo copie el texto del paso dos y, a continuación, cree un archivo de texto llamado CopiaReg1.txt, por ejemplo.

155

Parte cuatro

Haga clic en Inicio-> Todos los programas-> Accesorios ->Herramientas del sistema-> Restaurar sistema y en Restaurar mi equipo a un momento anterior. Referencias

Para obtener información adicional acerca de Cómo utilizar la consola de recuperación

La información de este artículo se refiere a:Microsoft Windows XP Home Edition Microsoft Windows XP Professional

156

Instituto Tecnológico de Costa RicaEscuela de Ingeniería en Electrónica

Programa de Capacitación en Electrónica

Capacitación para el Mantenimiento Preventivo y Correctivo de ComputadorasPersonales V05 rev12/08

Instructor: Ing. William Marín Moreno.

Diagnósticos de un computador personal.

La aplicaciones activas pueden corresponder a programas activados o ejecutados por elusuario o a otras aplicaciones que se inician automáticamente al encender el computador,algunas de ellas son necesarias para que el sistema operativo opere.

Lugares desde donde pudo ejecutarse una aplicación:

Menú de InicioProbablemente se inicia automáticamente con Windows, se encuentran en Inicio / Programas / Inicio ( Start | Programs | Startup folder)

WinIni Archivo de ejecución de inicio de Windows, los programas que se cargan cuando Windows inicia se encuentran en las líneas RUN= o LOAD= del archivo WIN.INI

RunKeys Llaves y claves del Registro de Windows, se pueden acceder utilizando la utilidad regedit. Se inician automáticamente cuando windows inicia.Las claves que contienen dichas aplicaciones generalmente son:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceExHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

NOTA: El registro de configuración de Windows contiene toda la información de Software y Hardware que el sistema necesita para operar. NO cambie nada de registro, almenos que sepa con seguridad lo que hace !!.

Classes Utilizadas por windows para asociar un tipo de archivo con la aplicación necesaria para manipularlo.Por ejemplo los archivos con extensión *.zip pueden estar asociados conWinZip o con WinRar.Generalmente los programas de esta categoría son iniciados manualmente por el usuario.

157

Instituto Tecnológico de Costa RicaEscuela de Ingeniería en Electrónica

Programa de Capacitación en Electrónica

Capacitación para el Mantenimiento Preventivo y Correctivo de ComputadorasPersonales

Instructor: Ing. William Marín Moreno.

Práctica sobre Diagnósticos de un computador personal.

Para realizar el diagnóstico de un computador personal, generalmente se utiliza algúnprograma de diagnóstico especializado como por ejemplo el Sisoft-Sandra o el Checkit. Enesta práctica utilizaremos una utilidad en line@ del sitio http://www.pcpitstop.com/

Comience por encontrar el sitio de donde puede descargar las versiones de evaluación deotros programas de diagnóstico:

Programa Sitio de descargaSisoft-SandraCheckitDr. Hardware

1. Ingrese al sitio http://www.pcpitstop.com/, asegúrese de mantener abierta solamente la ventana delExplorador de Internet que requiere para ingresar, no utilice el computador ni mueva el ratón o tecladomientras se realiza la prueba.2. Seleccione FULL TEST (FREE) a la izquierda de la página.3. Seleccione New Members (aparece una imagen con una llave)

4. Seleccione Dont create an account5. Observará un par de advertencias sobre la instalación de un controlador ActiveX requerido para realizar las pruebas, presione la barra amarilla que aparece en el navegador y seleccione Instalar

158

Controlador ActiveX. (observe las dos figuras siguientes)

6. Cuando el controlador Activex finalice la instalación, aparecerá una opción sobre la página que dice: Ready?. Let's GO. Selecciónela !!!!.7. Las pruebas comenzarán a realizarse en éste punto, NO utilice la PC ni mueva el ratón hasta finalizar.

8. Cerca del final de las pruebas se le preguntará una serie de aspectos sobre su computador. Realmenteno es relevante completar dicha información por lo que puede omitirse.

159

9. Al finalizar las pruebas, se le mostrará una serie de categorías y recomendaciones similares a las de la figura:

En ellas encontrará información sobre su hardware y software, posibles problemas y soluciones recomendadas. Por ejemplo en la figura anterior se indica que se tiene 2 Craplets (investigue qué es eso y anótelo:___________________________________________________________________________________________________________________________________________________________________________________________________________________).Al seleccionar, Craplet Scan se mostrarán los craplets junto con una posible solución, tal como se muestra en la siguiente figura:

160

10. Anote a continuación los resultados de las pruebas, en cada categoría según corresponda, que usted considere más relevantes:________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

161

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________.

162

Instituto Tecnológico de Costa RicaEscuela de Ingeniería En Electrónica.

Programa de Técnicos en Mantenimiento/Reparación de PC´s

Curso: Diagnóstico y VirusInstructor: Ing. William Marin Morenowmarin@itcr.ac.cr.

Crear un punto de restauraciónTomado del blog de meny:

http://supermeny.spaces.live.com/blog

Como crear un punto de restauracion del SistemaCOMO CREAR UN PUNTO DE RESTAURACION DEL SISTEMA

1. Primero se abre el menu inicio

163

2. Despues se dirige a “ Todos los programas” o “All programs”

3. Luego dirijase a “Accesorios” ó “Accesories”

164

4. Después en “Herramientas de Systema” ó “System tools”

165

5. Y por ultimo seleccione “Restaurar systema” o “Restore System”. Seleccione la opción crear punto de restauración y de clic en siguiente o next.

6. Especifique un nombre que sea referente a ese punto de restauración, por ejemplo si se va a instalar SQL Server conviene crear un punto de restauración y ponerle ese nombre.

166

Por ultimo de clic en crear y listo, se habra creado un punto de restauración por si falla el SQL Server.

167

Si no se tiene el servicio de restauración del sistema activo, primero:Primero vamos a comprobar que tenemos activada la Herramienta de Restauración de sistema , para ello pinchamos con el botón derecho del Mouse sobre MI PC y seleccionamos Administrar

.

Se nos abre una ventana como la que veremos a continuación donde pincharemos sobre Servicios y Aplicaciones , en la pantalla que nos aparece haremos doble clic sobre Servicios

Una vez hecho esto nos aparecerá una ventana con todos los servicios instalados en nuestro Ordenador ,, deberemos buscar el siguiente servicio : Servicio de restauración de sistema que deberá estar Iniciado y en Modo automático

Si no esta así como he descrito deberemos pinchar sobre el servicio abrir el menú con el botón derecho de Mouse y pinchar sobre propiedades , en tipo de Inicio seleccionamos Automático, le damos a Iniciar y a continuación Aplicar y Aceptar , así cada vez que arranquemos el PC este servicio se activara de modo automático

168

169

Instituto Tecnológico de Costa Rica Escuela de Ingeniería Electrónica

Técnico en Mantenimiento y Reparación de PCsInstructor: Ing. William Marin Moreno.

Póngase en marcha con el escritorio remoto

Con la característica Escritorio remoto de Windows® XPProfessional puede controlar el equipo de forma remota desde otraoficina, desde casa o mientras está de viaje. De este modo puedeutilizar los datos, aplicaciones y recursos de red del equipo de la oficinaaunque esté fuera de ella.

Para poder utilizar la característica de Escritorio remoto necesita:

• Windows XP Professional instalado en el equipo de la oficina o en cualquier equipoque vaya a controlar de forma remota. Este equipo recibe el nombre de host.

• Un equipo remoto con Windows 95 o una versión más reciente de Windows. Esteequipo recibe el nombre de cliente y debe tener instalado el software de clienteConexión a Escritorio remoto.

• Una conexión a Internet. Una conexión a Internet de banda ancha mejora elrendimiento, pero no es necesaria porque el Escritorio remoto sólo transfiere los datosmínimos (como los datos de pantalla y los datos de teclado) para controlar de formaremota el equipo host. De este modo, incluso las conexiones a Internet de bajo anchode banda le permiten controlar de forma remota el equipo de la oficina.

En este artículo se da por hecho que su equipo de la oficina forma parte de una redcorporativa en la que se permiten las conexiones con Escritorio remoto. Si tiene alguna dudaal respecto, pregunte al administrador del sistema.

Cómo configurar el escritorio remoto en su equipoEn primer lugar, tiene que activar la característica Escritorio remoto en el equipo de la oficinapara poder controlarlo de forma remota desde otro equipo. En el equipo basado en WindowsXP Professional, debe haber iniciado sesión como administrador o como miembro del grupoAdministradores para poder habilitar el Escritorio remoto.

Cómo configurar el equipo de la oficina para poder utilizar Escritorio RemotoAbra la carpeta Sistema en el Panel de control. Haga clic en Inicio , seleccioneConfiguración , haga clic en Panel de control y, a continuación, haga doble clic en el iconoSistema.

170

En la pestaña Remoto , active la casilla de verificación Permitir a los usuarios conectarseremotamente a este equipo , como se muestra a continuaciónCompruebe que tiene los permisos adecuados para conectarse al equipo de forma remota y haga clic en Aceptar

Nota Si ejecuta Windows XP Service Pack 2 (SP2) y además activa la característica de Esctritorio remoto, el servidor deseguridad (Firewall) de Windows se configurará de manera automática para permitir conexiones de Escritorio remoto. Sinembargo, el Escritorio remoto no funciona si tiene configurado el Servidor de seguridad para que permita excepciones. Parapermitir las excepciones tiene que ir al panel de contro y abrir el Centro de Seguridad hacer clic en Firewall de Windows ydejar la casilla de No permitir excepciones en blanco

171

Crear el usuario con el que se conectará al equipo

15.En el PANEL DE CONTROL seleccione HERRAMIENTAS ADMINISTRATIVAS

16.Allí seleccione ADMINISTRACIÖN DE EQUIPOS

1. Busque la carpeta USUARIOS Y GRUPOS LOCALES, y seleccione USUARIOS (vea la figura siguiente)

1. Haga click derecho sobre la parte blanca a la derecha y agregue un usuario nuevo. Tome nota del password que le asigne (no debe quedar en blanco)

Regrese a la configuración del escritorio remoto y habilite el usuario recién creado para que se pueda conectar a su equipo (vea figura siguiente)

172

Instale el cliente de comunicaciones del Escritorio remotoGracias al software de cliente Conexión a Escritorio remoto los equipos con Windows 95,Windows 98, Windows 98 Second Edition, Windows Me, Windows NT 4.0 o Windows 2000controlar de forma remota el equipo con Windows XP Professional. El software de clienteestá disponible en el CD de instalación de Windows XP Professional y Windows XP HomeEdition. Está instalado de forma predeterminada en equipos que ejecutan Windows XPProfessional y Windows XP Home Edition.Para instalar el software Conexión a Escritorio remoto en un equipo cliente

1. Inserte el CD de Windows XP en la unidad de CD–ROM. 2. Cuando aparezca la página de bienvenida, haga clic en Realizar tareas adicionales y, a continuación, enInstalar

conexión a Escritorio remoto. como se muestra abajo.3. Cuando se inicie el Asistente para instalación, siga las instrucciones que aparecen en pantalla.

173

Cómo iniciar una sesión de escritorio remotoCómo crear una nueva conexión a Escritorio remoto

1. Abra Conexión a Escritorio remoto. (Haga clic en Inicio, seleccione Programas o bien Todos los programas,seleccione Accesorios, pulse sobre Comunicaciones, y luego haga clic en Conexión a Escritorio remoto.)

2. En Equipo , tescriba el nombre del equipo con Windows XP Professional que tiene habilitado el Escritorio remoto yen el cual tiene permisos de Escritorio remoto.

3. Haga clic en Conectar . Aparecerá el cuadro de diálogo Iniciar sesión en Windows.4. En el cuadro de diálogo Iniciar sesión en Windows. escriba el nombre de usuario, contraseña y dominio (si es

necesario) y, a continuación, haga clic en Aceptar. Se abrirá la ventana Escritorio remoto con la configuración deescritorio, archivos y programas del equipo de la oficina. El equipo de la oficina permanecerá bloqueado. Nadiepodrá trabajar en este equipo sin una contraseña ni podrá ver el trabajo que realiza de forma remota en el equipode la oficina.

Si desea indicar algunas preferencias, como el nombre de usuario a usar para entrar en el equipo, la resolución de pantallay otras características, pulse en el botón Opciones >>.

En la primera ficha (General) puede indicar el nombre del usuario y el password, tal como se muestra en la figura siguiente.

174

Si no indica estos datos, al hacer login en el equipo, serán solicitados,

Ficha General: datos del usuario

Mediante la segunda ficha (Mostrar), se puede indicar la resolución además del número de colores que se utilizará, pero, talcomo se indica en dicha ficha, (ver figura ), esos colores dependerán de la configuración del equipo remoto.

Si se posiciona el indicador del tamaño a usar hasta la parte derecha (Más), se mostrará a pantalla completa.

175

Ficha Mostrar: tamaño de la ventana remota y colores a usar

En la ficha Recursos locales (ver figura) se pueden indicar algunas opciones sobre el comportamiento de la conexión y losrecursos locales que pueden ser accesados desde el otro computador. De forma que se puede "traer" el sonido del equiporemoto al equipo local o se puede compartir con el equipo remoto las unidades de disco, impresoras y puertos serie.

176

Recursos locales y remotos

Si marcamos la opción de conectar las unidades locales (ver figura anterior), al conectar nos preguntará si estamos segurosde hacerlo, ya que puede suponer un problema de seguridad.

177

Advertencia de seguridad al permitir conectar desde el equipo remoto a las unidades locales

En la ficha Rendimiento swe indican las opciones "gráficas" que se desea habilitar al conectar remotamente. Dependiendode la velocidad de conexión que se posea, se pueden seleccionar todas o solo las que interese (ver figura siguiente).

. Opciones de rendimiento al conectar con el equipo remoto

Una vez configuradas todas la preferencias con esa conexión, se pùede conectar al equiporemoto.

178

Al hacerlo se mostrará la ventana para iniciar la sesión (por eso es necesario la cuenta deusuario que se creó co anterioridad), en la que debe indicarse el nombre de usuario ycontraseña del equipo remoto,

Cómo se abre una conexión guardada

11. En el Explorador de Windows, abra la carpeta Mis documentos\Escritorios remotos. .12. Haga clic en el archivo .Rdp de la conexión que desea abrir

Nota un archivo de Escritorio remoto (.rdp) contiene toda la información de una conexión a un equipo remoto, incluida la configuración de Opciones que se estableció al guardar el archivo. Puede personalizar cualquier número de archivos .rdp, incluso los archivos para conectarse a un mismo equipo con configuraciones distintas. Por ejemplo, puede guardar un archivo que se conecta a Mi PC en modo de pantalla completa y otro archivo que se conecta al mismo equipo en tamaño de pantalla de 800×600. De forma predeterminada, los archivos .rdp se guardan en la carpeta Mis documentos\Escritorios remotos. Para modificar un archivo .rdp y cambiar su configuración de conexiones, haga clic con el botón secundario en el archivo y, a continuación, haga clic en Modificar

Cómo cerrar y finalizar la sesión

1. En la ventana Conexión a Escritorio remoto, haga clic en Inicio y, a continuación, haga clic en Apagar.

Aparecerá el cuadro de diálogo Salir de Windows.

2. En el menú desplegable, seleccione Cerrar sesión de "nombre de usuario" y, a continuación, haga clic enAceptar.

179

Instituto Tecnológico de Costa RicaEscuela de Ingeniería En Electrónica.

Programa de Técnicos en Mantenimiento y Reparación de PC´s

Curso: Diagnóstico y VirusInstructor: Ing. William Marin Morenowmarin@itcr.ac.cr.

Power On Self Test (POST).

A la hora de diagnosticar el hardware de un computador, muchas veces sucede que alencenderlo solo se escuchan algunos pitidos (beeps) paro no se logra observar nada en eldispositivo de visualización. Dichos pitidos constituyen la forma en la que el computadorindica que posiblemente existe algo erróneo con el Hardware.El auto-diagnóstico de encendido (POST) es realizado por el BIOS del computador cuandoes encendido, para asegurarse de que el sistema funciona adecuadamente y para recaudarinformación acerca de los componentes que integran el sistema. Cuando se detecta un errordurante el POST, generalmente el BIOS genera un mensaje que lo indica, pero algunasveces el error se produce demasiado pronto como para poder acceder la tarjeta de videopara desplegar el mensaje en pantalla; en este caso el BIOS produce un código de errorsonoro utilizando el altavoz interno del PC, para indicarle al usuario el tipo de errorencontrado.

El significado exacto del código sonoro depende de la marca, tipo y versión del BIOS queutilice cada computador, pero las marcas más populares de BIOS son:

17. Award18. American Megatrends (AMI) 19. Phoenix

Nota: Un único pitido durante el proceso de arranque, usualmente luego de que aparece lapantalla inicial de inicio del BIOS no indica ninguna falla, y se considera normal del procesode inicio.Algunos de los mensajes frecuentes ganarados por el BIOS utilizando códigos sonoros son:

DRAM refresh failure Fallo en el ciclo de refescamiento de la DRAM Parity circuit failure Fallo en el circuito generador de paridad System timer failure Fallo en el reloj del sistema Base 64K RAM failure Fallo de la memoria base (64K RAM) Processor failure Fallo del Microprocesador Keyboard controller / gate A20 failure Fallo del controlador de teclado Display memory read/write failure Error de lectura/escritura en la memoria de video ROM BIOS checksum failure Error de la ROM del BIOS (Checksum)

180

CMOS shutdown register read/write error Error de L/E en el registro de apagado del CMOS

Cache memory error Error de memoria CachéContinuous Beeping: Memory or video problem Problema de Video (memoria o tarjeta)

Los códigos POST no se envian solamente al altavoz del sistema, sino que el BIOS utiliza elpuerto #80H (generalmente) del bus de datos para enviarlo. Esto es aprovechado poralgunos fabricantes de herramentas de diagnóstico para vender tarjetas “lectoras” de códigosPOST. Dichas tarjetas leen la información de error que viaja por el puerto y despliegan elerror en algun sistema de visualización propio, como visualizadores de siete segmentos opantallas de cristal líquido (las más baratas utilizan diodos emisores de luz –LED-). Algunasde estas tarjetas inclusive son capaces de indicarle al usuario la localización del error y lamanera de arreglarlo.Algunas de estas tarjetas son:

Tarjeta FabricantePC Sentry Computer Diagnostic Board. NetWind Inc. / Cdi Communications

POST-Probe Micro2000Omni Analyzer NetWind Inc.

Investigue en Internet :1. El Significado de los errores que se indican en la primera tabla de este

documento.2. 2 tipos diferentes de tarjetas POST y sus principales características. Indique el

precio de cada una y la razón por la que usted elegiría una de ellas.3. ¿Qué es un check point?

Busque información referente al BIOS que tiene en su computador:Fabricante y modelo de la Tarjeta Madre________________________________Fabricante del BIOS________________________.BIOS ID String (identificador /versión del BIOS)_________________________________.

Descargue el manual de ESPECIFICACIONES TECNICASi de la tajeta madre de su

computadorComplete, la siguiente tabla, para el computador que se le asignó:

Beep CodesCantidaddePitidos

Significado

1

2

3

4

5

181

6

7

8

9

10

11

Inspeccione la tarjeta POST que se le entregó, y anote lo siguiente:

Significado de los LED de la tarjeta:CLK___________________________________________________________________________________________________________________________________________________________.

BIOS IRDY ______________________________________________________________________________________________________________________________________________________________

OSC___________________________________________________________________________________________________________________________________________________________.

RST___________________________________________________________________________________________________________________________________________________________.

+12V /-12V/3.3V/+5V____________________________________________________________________________________________________________________________________________________________________________________________________________________________

Antes de instalar la tarjeta POST, verifique en el manual de la Tarjeta Madre si debe teneralgún cuidado especial (por ejemplo instalarla en un slaot específico) Esto es sumamenteIMPORTANTE, ya que en algunos casos allí se detalla la forma en la que debe instalarse latarjeta POST. ¿Qué dice el manual al respecto?______________________________________________________________________________________________________________.Instale cuidadosamente la tarjeta, y anote los códigos que se producen cuando:

182

Código de operación normal (al finalizar el encendido)______________________________.Es un error o un check-point:_______________________

Remueva la memoria RAMCódigo al NO tener memoria RAM______________________________________________.Es un error o un check-point:_______________________

Instále nuevamente la RAM, y desinstale la tarjeta de videoCódigo sin tarjeta de video____________________________________________________.Es un error o un check-point:_______________________

Instale nuevamente la tarjeta de video y remueva la bateríaCódigo sin batería____________________________________________________. Es un error o un check-point:_______________________Busque en el manual de la tarjeta madre, busque los errores arriba anotados y anote suscomentarios.___________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________ Nota: El manual de usuario y el manual de especificaciones técnicas de una tarjeta madresuele ser muy diferente. La información que usted requiere para la práctica se encuentra enel manual de especificaciones Técnicas. (Technical Product Specification).

183

Instituto Tecnológico de Costa RicaEscuela de Ingeniería En Electrónica.

Programa de Técnicos en Mantenimiento y Reparación de PC´s

Curso: Diagnóstico y VirusInstructor: Ing. William Marin Moreno

Identificadores de la Comisión Federal de Comunicaciones

La FCC (Federal Communications Commission), es una organización gubernamentaldedicada, entre otras cosas, de clasificar algunos dispositivos electrónicos –incluyendo loscomputadores personales- en dos categorías conocidas como Clase A y Clase B. Laclasificación indica la cantidad de radiación que el dispositivo emite.La mayoría de computadores logran alcanzar los requerimientos de Clase A, lo que significaque son adecuados para su utilización como equipo de oficina. Los equipos Clase B, que sonadecuados para utilizarse en cualquier lugar, incluyendo el hogar, deben primero sobrepasarpruebas más estrictas, ya que la clasificación de Clase B indica que la cantidad de emisionesde Radio Frecuencia del equipo (RF) es tan baja que no causa interferencia con ningún otrodispositivo cercano como radios y televisores.

Figura 1. Logotipo de la FCC

Aunque la FCC no tiene nada en común con los diferentes fabricantes, muchas veces elnúmero de identificación de un dispositivo puede ayudar a encontrar el fabricante del mismo,lo que constituye un buen paso en el proceso de detección de averías y búsqueda decontroladores (drivers) adecuados.

En la página web de la FCC (http://www.fcc.gov), se cuenta con una base de datos quecontiene los registros de los equipos que han sido certificados, de tipo aceptado o verificadospor la FCC; así como también la autorizaciones que ha emitido, que es de mucha utilidadpara localizar fabricantes desconocidos o en los casos en los que no se pueda determinar asimple vista.

Ejemplo Información

FCC IDEquipos con esta etiqueta seencuentran en la base de datos..

184

FCC DoCDeclaración deConformidad

Equipos con esta etiqueta NO seencuentran en la base de datos.Simplemente se hace referencia alcumplimiento de las normas deFCC..

FCC Reg. #Número de

Registro

Equipos con esta etiqueta solo seencuentran en la base de datos siademás cuentan con el FCC ID. Elnúmero de registro del fabricantenunca se muestra en la base dedatos.

Definiciones

13. El FCC ID consiste de dos elementos, el código otorgado al fabricante (grantee code)y el código del producto.

14. El Grantee Code consiste en los primeros tres caracteres delFCC ID. El Grantee codees asignado en forma permanente por la comisión como autorización a los fabricantesde equipos de radio frecuencia cuyos productos se encuentran sujetos a revisión.

15. El Equipment Product Code (EPC) es asignado por el fabricante a su producto, ypuede contener un mínimo de 1 caracter y máximo 14.

16.En el caso en el que aparezcan guiones (-) como parte del EPC, es necesarioingrasarlos de esta manera en la base dedatos.

17. La herramienta de búsqueda del FCC sepueda accesar por medio de la direcciónhttp://www.fcc.gov/oet/ea/ , seleccionado enel menú de la izquierda la opción: FCC IDSearch que se muestra en la imagen:

Controladores (Drivers)Si se está intentando localizar el fabricante o los controladores adecuados para un dispositivoen particular, lo primero que se debe realizar es digitar el nombre del fabricante en unservicio de directorio o motor de búsqueda de internet.A continuación se muestran algunos ejemplos:

Un controlador es un programa que ayuda a controlar o manipular un dispositivo. Cada unode losdispositivos de una PC como impresoras, teclados y discos duros deben contar con uncontrolador. Algunos controladores de dispositivos sencillos vienen incluidos con el sistemaoperativo, pero otros lo tienen almacenado en un CD o diskette que acompaña el dispositivocuando se compra, y es necesario para poder utilizarlo.En MS D.O.S, los controladores tienen extensión .sys, mientras que bajo el ambienteWindows los controladores tienen la extensión .drv.Un controlador o manejador, actúa como un traductor entre el dispositivo y el programa quelo utiliza, ya que cada dispositivo cuenta con su propio conjunto de comandos especializadosque solo su controlador puede entender.

185

Si el fabricante del dispositivo no se puede determinar o se desconoce, se puede buscar enla base de datos de la FCC su nombre y luego intentar el método anterior.Si el dispositivo es bastante “común” o de marca reconocida, se pueden utilizar sitios webdedicados a coleccionar drivers o ayudar en su búsqueda, como los mostrados en la tablasiguiente.

Lugar DirecciónMrDriver http://www.mrdriver.com WinFiles http://www.winfiles.com

WinDrivers http://www.windrivers.com Support Tech http://webhome.idirect.com/~cati/

Driver32 http:// driver.s oftlookup.com/ Driver Shaq http://www.drivershq.com Driver Guide http://www.driverguide.com/ Driver Zone http://www.driverzone.com/

Drivers http://www.drivers.com/search.html ABCDrivers http://www.abcdrivers.com/fccid.asp

186

CompTIA identificadores de reparación.

El estándar de códigos o mensajes de error de CompTIA provee a la industria de IT unestándar para la identificación, categorización y seguimiento de los síntomas de fallo paraincidentes de servicio; desde la identificación de los problemas iniciales hasta una solución.Estos códigos de asistencia en la raíz del problema reducien el número de reincidencias de“No Problema/Fallo Encontrado (NPF/NFF) por sus siglas en inglés) en la cadena degarantía/reparación.

INSTRUCCIONES DE USO DE LOS CODIGOS DE FALLO9

1. Seleccione el digito

correspondiente al sistemaoperativo primario instaladoen el dispositivo que ha sidoatendido e introdúzcalo enel campo #1 de la seccióndel código de fallos.

2. Seleccione el digito

correspondiente al tipo de falladel dispositivo (ejemplo:intermitente, continuo, etc.) eintrodúzcalo en el campo #2 de lasección del código de fallos.

3. Seleccione el digito que más

se asemeje a la acción realizadapor el servicio técnico eintrodúzcalo en el campo #1 de lasección del código de fallos

SISTEMA OPERATIVO MODIFICADOR (TIPO DEFALLO)

ACCION

Apple OS Classic A Código de Beep A Ajuste AApple OS X B Fallas causadas por el sistema B Aplicar el boletín FSB (arreglado

en el sitio)B

Linux C Instrucción detectada en el chasis

C Actualización de BIOS o Firmware

C

MS Vista D Configuración D No se puede duplicar DMS Windows 2000 E Continua E Configurar EMS Windows 2003 F Inducida por el usuario F Reemplazado por el cliente FMS Windows NT G Causada por el ambiente G No se encontraron fallas GMS Windows Otro H Fallo después de calentar H Recibido de logística HMS Windows XP I Fallos diagnostico/mensaje de

errorI Recargado I

No Aplica J Fallo de auto diagnostico/mensaje de error

J Remplazado por actualización J

Novell K Instalación no posible K Reseat KOS 2 L Intermitente/ se nota cierta

frecuenciaL Regresar/defectuoso. L

Otro M LED indicador de fallas M Retornado / no se realizó ningunaacción

M

UNIX-HP-UX N No aplica N Retornado / con consejo NUNIX-TRU64 O Pre-fallo diagnosticado O Retornado / Cliente Satisfecho OVMS P “Factory Recall” del Producto P

DOA recibido Q

Repetible. R

9 NOTA: Partes retornadas sin utilizar deben ser codificadas como JNMG08

187

4. seleccione el código de tres dígitos que mejor describa el síntoma o modo de fallo en el dispositivo e

introdúzcalo en los campos 4, 5 y 6 de la sección del código de fallos.GENERAL COMUNICACIONES-RED-MODEM

Accesorio adicional necesario G01 Nivel de revisión de BIOS o firma incorrecta C01 Mal olor G02 Error de BIOS o firma C02Pantalla azul (durante el proceso) G03 Cuestiones de Bluetooth/wifi C03 Contaminación/ corrosión G04 Cable o correa mala C04 Satisfacción del consumidor/ debería ser mejor G05 Cuestiones de correa/ATM C05 Aplicación de software de usuario G06 Cuestiones de comunicación fallida C06 Cosas Perdidas (incompleto, perdido, parte mala) G07 Cuestiones de conexión – tono de línea C07 Parte buena sin usar G08 Interrupción de conexión C08 Parte etiquetada incorrectamente G09 Lentitud o ruido en la línea de conexión C09 Articulo perdido de parte o accesorio G10 No hay respuesta en la línea de conexión C10 Tipo de licencia G11 No hay tono en la línea C11 Ambiente con sobre temperatura G12 Cuestiones de convergencia C12 Contraseña o PIN olvidado G13 Cuestiones del cableado C13 Cuestión de velocidad o rendimiento G14 Cuestiones con el driver del dispositivo C14 Físicas o cosméticas (sucio o raspado) G15 Dispositivo se detiene durante el arranque C15 Cuestiones de software preinstalado G16 Dispositivo se detiene al iniciar usuario C16 Cuestiones de software de administración remota G17 Dispositivo no se apaga C17 Reemplazo de múltiples partes G18 Dispositivo se apaga golpeadamente C18

Fallo diagnosticado/ código de error en comentario C19 Error externo en retroalimentación C20 Cuestiones de fibra C21 Cuestiones de Firewire C22 Problemas de hibernación-suspensión-resumen C23 Problemas con el infrarrojo C24 Error interno de retroalimentación C25 Cuestiones de dirección IP C26 Cuestiones de ISDN C27 Cuestiones de tarjeta de red C28 Cuestiones de PING en el servidor C29Pines/conectores doblado/quebrado C32Cuestiones de Alimentación o luces C31 Avisos de prefallas (comentarios en cubierta) C32Cuestiones con T1 C33 Cuestiones con T3 C34 Cuestiones con USB C35 Cuestiones con celular inalámbrico C36 Fallos con HUB inalámbrico o repetidor C37

OTROS DISPOSITIVOS FUENTE-BATERIA-UPSDistorsión en el audio X01 El interruptor de 110/220V no esta ajustado

correctamenteE01

Canal frontal de audio dañado X02 Hardware o consumibles no especificado por 3ra parte E02Entrada de audio no funciona X03 Cuestiones de alarmas audibles E03Canal de audio izquierdo no funciona X04 Batería no carga E04No hay sonido en los audífonos X05 Batería no mantiene la carga o cuestiones de carga E05No hay sonido en los parlantes X06 Indicación de remplazar batería de UPS E06Salida de audio no funciona X07 Cable o cordón defectuoso E07Canal de audio trasero no funciona X08 Cuestiones de error de configuración E08Canal de audio derecho no funciona X09 Cuestiones de controladores de dispositivo E09Sonido y video no están sincronizados X10 Dispositivo no se apaga E10Error de BIOS firmware X11 Dispositivo se apaga golpeadamente E11Nivel de revisión del BIOS firmware incorrecto X12 Fallo diagnosticado/ código de error en comentario E12Error o distorsión en cámara X13 Fallo de ventilador, disipador o sobrecalentamiento E13No hay imagen desde la cámara X14 Cuestiones de fuses E14Error de configuración X15 Error de LED indicador o no hay LED E15Cuestiones de controlador de dispositivo X16 Ruido, vibración o zumbidos E16Dispositivo no reconocido X17 No hay alimentación AV E17Dispositivo golpeado X18 No hay alimentación de la batería E18Fallo diagnosticado/ código de error en comentario X19 Avisos de prefallas (comentarios en cubierta) E19Cuestiones de Estación de acoplamiento/ puertoreplicador

X20 Problemas de reset o reset aleatorio E20

188

Error de dispositivo externo X21 Voltaje sobre o bajo la tolerancia E21Fallo de ventilador, disipador o sobrecalentamiento X22Problemas mecánicos X23Cuestiones del micrófono X24Pines/conectores doblado/quebrado X25Cuestiones de alimentación o luces X26Imposible insertar o extraer dispositivo X27Formato de video no reconocido X28

IMPRESORA-FAX o MULTIFUNCIONAL TARJETA MADRE/CPUError de BIOS firmware P01 Canal frontal de audio dañado S01Nivel de revisión del BIOS firmware incorrecto P02 Entrada de audio no funciona S02Cable o cordón malo P03 Canal de audio izquierdo no funciona S03Cuestiones de calibración P04 Salida de audio no funciona S04Cuestiones de acopio P05 Canal de audio trasero no funciona S05Fallos con la comunicación P06 Canal de audio derecho no funciona S06Fallos de configuración P07 Error de BIOS o firma S07Cuestiones de cartuchos de tinta o Toner P08 Nivel de revisión de BIOS o firma incorrecta S08Consumibles, hardware descalificado por terceros P09 Error de chequeo S09Panel de control inoperativo P10 Cuestiones de día y hora S10Daño de cliente P11 Error de configuración S11Dispositivo se detiene durante el arranque P12 Error de CPU S12Dispositivo se detiene al iniciar usuario P13 Dispositivo se detiene durante el arranque S13Dispositivo no se apaga P14 Dispositivo se detiene al iniciar usuario S14Fallo diagnosticado/ código de error en comentario P15 Dispositivo no se apaga S15Falla o error de motor P16 Dispositivo se apaga bruscamente S16Problema DOCKING en dispositivo externo P17 Fallo diagnosticado/ código de error en comentario S17Cuestiones de fax P18 Problema DOCKING en dispositivo externo S18Fallo de ventilador, disipador o sobrecalentamiento P19 Error de emulación o comunicación S19Fallo de fuses P20 Cuestiones de eSATA S20Fallo en disco duro P21 Slot (ranuras) de expansión dañados S21Problemas de hibernación-suspensión-resumen P22 Error de retroalimentación S22Error de copia de imágenes P23 Fallo de ventilador, disipador o sobrecalentamiento S23Cartucho o toner derramado P24 Cuestiones del Firewire S24Error interno de memoria P25 Problemas de hibernación-suspensión-resumen S25Error de tarjeta lógica o tarjeta de sistema P26 Cuestiones de batería interna (e. cmos) S26Uso mecánico P27 Error de retroalimentación externo S27Error en tarjeta de memoria P28 Problema mecánico S28Cuestiones de retensión o trasporte de papel P29 Error o fallo en memoria S29Papel atascado P30 Cuestiones del puerto paralelo S30Pines/conectores doblados/quebrado P31 Cuestiones de PCMCIA S31Cuestiones de Alimentación o luces P32 Pines/conectores doblados/quebrado S32Avisos de prefallas (comentarios en cubierta) P33 Problemas de reset o reset aleatorio S33Cuestiones de seguimiento o alineación de la cabeza P34 Cuestiones de SAS S34Cuestiones de calidad en impresión o color P35 Cuestiones con el SCSI S35Impresión de paginas negras o blancas P36 Cuestiones del puerto serie S36Problemas de reset o reset aleatorio P37 Cuestiones del puerto USB S37Cuestiones de calidad o error en escaneo P38 Cuestiones de entrada o salida de video S38Fallo en auto comprobación (al inicio) (self test) P39 UNIDADES DE ALMACENAMIENTO/DISCOS

DISPLAY-MONITORES Nivel de revisión de BIOS o firmware incorrecto M01

El segundo monitor no trabaja D01 Error de BIOS o firmware M02Cuestiones de luz trasera (no funciona) D02 Cable o correa mala M03No hay video D03 Cuestiones con el cache de la batería M04Componente quemado D04 Error de cache del modulo M05Cable o cordón dañado D05 Cuestiones o error de configuración M06Error de cámara (distorsión ) D06 Error de arreglo de controladores M07Error de cámara (no hay imagen) D07 Controlador otros errores M08Color – incorrecto o perdido D08 Error de controlador PCI M09Color – borroso/ líneas claras D09 Error de controlador RAID M10Cuestiones de composición de video D10 Error de controlador SCSI M11Cuestiones de error de configuración D11 Cuestiones de error controlador de interrupciones M12Cuestiones de contraste D12 Corrupción de datos M13Adulterado D13 Cuestiones de controlador de dispositivos M14

189

Cuestiones de controlador de dispositivo D14 Dispositivo se detiene durante el arranque M15Diagnostico fallido (código de error en comentarios) D15 Dispositivo se detiene al iniciar usuario M16Cuestiones de horizontal, vertical o diagonal D16 Dispositivo no se apaga M17Foco, distorsión, borroso D17 Dispositivo se apaga golpeadamente M18Cuestiones de entrada-salida D18 Fallo diagnosticado/ código de error en comentario M19Intensidad baja D19 Fallo de arreglo M20Ruido a alta frecuencia D20 Cuestiones de formateo M21Daño físico o cosmético D21 Error de identificación M22Pines/conectores doblados/quebrado D22 LED ámbar encendido M23Píxeles malos o excesivo conteo de píxeles D23 LED de fallas encendido M24Cuestiones de Alimentación o luces D24 LED rojo encendido M25Caracteres aleatorios D25 Errores cíclicos M26Cuestiones de tamaño, alineación o geometría D26 Problemas mecánicos M27Inestable (saltos, rotaciones o sacudidas) D27 Problemas de múltiples discos M28

Ruidoso M29Pines/conectores doblado/quebrado M30Cuestiones de Alimentación o luces M31Avisos de pretallas (comentarios en cubierta) M32Errores de Lectura/Escritura M33Sectores dañados/Defectuosos M34No arranca (bootea)/Error de arranque dañado M35No monta partición/No se reconoce/Fallos de inicialización M36No gira M37

190

UNIDADES REMOVIBLES (Zips-CD-Flash-Tape) DISPOSITIVOS DE ENTRADA-TECLADOS-PUNTEROS

Entrada de audio no funciona R01 Cable o cordón defectuoso K01Salida de audio no funciona R02 Cuestiones de lectora de tarjetas K02Error de archivos de seguridad R03 Cuestiones de fallo en comunicaciones K03No se puede leer el código de barras R04 Cursor no sigue apropiadamente (saltos, rotaciones o

sacudidas)K04

Nivel de revisión de BIOS o firma incorrecta R05 Cuestiones de controlador de dispositivo K05Error de BIOS o firma R06 Dispositivo se detiene durante el arranque K06Problemas de sensado BOT/EOT R07 Dispositivo se detiene al iniciar usuario K07Cable o cordón defectuoso R08 Fallo diagnosticado/ código de error en comentario K08Fallo de comunicación R09 Problemas de hibernación, suspensión o Resume K09Error de configuración R10 Código de acceso incorrecto K10Consumibles, hardware descalificado por terceros R11 Tecla inoperativa o no responde K11Datos corruptos R12 Teclas de instrucción aspera K12Cuestiones de errores en datos R13 Tecla stuck/sticky key K13Dispositivo se detiene durante el arranque R14 Problemas mecánicos K14Dispositivo se detiene al iniciar usuario R15 No responde K15Dispositivo no se apaga R16 Pines/conectores doblado/quebrado K16Dispositivo se apaga golpeadamente R17 Cuestiones de estilo o pantalla táctil K17Fallo diagnosticado/ código de error en comentario R18 Fuga de sustancias K18Error de cambio de disco R19Cuestiones de memora Flash o Memory Stick R20Cuestiones de controlador de Floppy R21Cuestiones de formateo R22Cuestiones de calentamiento (temperatura o ganancia) R23Cuestiones de calentamiento (seguimiento yalineamiento)

R24

Problemas mecánicos R25Daños al dispositivo R26Dispositivo no reconocido/ trabaja en otra unidad R27Cuestiones de selección de pin R28Pines/conectores doblado/quebrado R29Cuestiones de Alimentación o luces R30Avisos de prefallas (comentarios en cubierta) R31Errores de lectora – escritura R32Goteo en cartuchos de cinta R33Problemas de ThREAd en cintas R34No acepta o expulsa dispositivos R35No monta o no reconoce R36No debería girar R37La cinta no debería moverse R38

191

Instituto Tecnológico de Costa RicaEscuela de Ingeniería En Electrónica.

Programa de Técnicos enMantenimiento/Reparación de PC´s

Curso: Diagnóstico y VirusInstructor: Ing. William Marin Moreno

LiveCD/DVDCD Autónomo

rev_10_2009

Un CD o DVD autónomo (LiveCD o Live DVD) es un CD/DVD que contiene un sistema operativo

funcional (“arrancable” o ejecutable) para computador. Nótese que NO se trata de el instalador del

sistema operativo, aunque algunos sistemas operativos pueden contener ambas funcionalidades en un

mismo disco.

La característica que hace único un LiveCD consiste en que permite cargar el sistema operativo

completo sin necesidad de contar con un medio de almacenamiento secundario (po ejemplo un disco

duro). Por otro lado, últimamente se pueden encontrar versiones LiveUSB, qu ejecuta el sistema

oiperativo desde una memoria USB (pendrive, o “Llave Maya” como se le conoce en tiquicia...) con la

particularidad de poder escribir cambios en la memoria.

Aunque por lo general los LiveCD no alteran la información almacenada en los discos duros,

generalmente contienen una serie de herramientas que permiten modificar la información, típicamente

para corregir errores en el sistema operativo que se encuentra instalado en el disco duro, instalar un

nuevo sistema operativo, realizar respaldos de datos, e inclusive remover malware.

Por defecto, los sistemas tipo LiveCD se ejecutan en un disco duro virtual que se crea en la mamoria

principal (RAM) denominado RAM-disk, por lo que la cantidad de memoria disponible para ser

utilizada por las aplicaciones es mucho menor a la instalada en el sistema.

192

Algunos ejemplos de CDs autónomos son:

• Billix – Contiene varias distribuciones de GNU/Linux para su instalación.

• Hiren's Boot CD – Disco de rescate al estilo MSDOS que contiene herramientas para

particionado, manejo del sistema de archivos, rescata y diagnóstico de datos, etc. Generalmente

utilizado durante el proceso de búsqueda de averías en computadores con sistemas operativos

Windows.

• Inquisitor – CD autónomo para realizar diagnóstigos, pruebas de estrés, y comparación.

• RIP: (R)ecovery (I)s (P)ossible LiveCD basado en GNU/Linux con herramientas de

particionado y compartición de archivos en red (Samba).

• SystemRescueCD Herramientas para reparación de Windows y Linux .

• Trinity Rescue Kit – Herramientas para reparación de Windows basado en Mandriva Linux.

• Ultimate Boot CD – Basado en Linux/FreeDOS con herramientas para particionado y

recuperación de datos en Windows

• UBCD4Win – La versión Windows de Ultimate BootCD (basado en BartPE )

• Parted Magic – Herramientas de particionado.

• Gparted – Herramientas de particionado.

• Acronis Rescue Media – Permite realizar imagenes de unidades de disco duro.

__________________________________________________________________________

Si desea ver una lista muy completa visite http://www.livecdlist.com/

Hiren's BootCD (http://www.hiren.info/pages/bootcd) es un CD autónomo. Este contiene una

secuencia de arranque, así puede ser útil incluso cuando el sistema operativo primario no pueda ser

iniciado. Por que el sector cero o MBR del Disco Duro no es escrito correctamente o carece de alguno.

El Hiren's BootCD tiene una lista extensa del software.

193

Las utilidades con funcionalidad similar en el CD se agrupan juntas y parecen redundantes, sin

embargo existen diferencias entre ellas o se complementan. El 29 de agosto de 2009 lanzaron la versión

actual que es la 10.0, que contiene varias utilidades

tales como:

• Pruebas del funcionamiento del sistema.

• Reproductores multimedia.

• Gestor del Master Boot Record.

• Herramientas del BIOS.

• Cambio o eliminación de contraseñas en el

equipo.

• Programas de recuperación de datos.

Y muchos otros que resuelven los problemas de la

computadora.

Existe un articulo detallado de las aplicaciones del Hiren's Boot 6.0.

Por la índole de las aplicaciones que contiene, el autor no publica directamente su descarga, pero puede

ser descargado de: http://www.hirensbootcd.net/

Menú principal de Hiren's

Errores Con Particiones y Linux

194

Algunas veces cuando se instala un sistema operativo podemos encontrar diversos errores, como es que

la tabla de partición no funcione correctamente, o el espacio del disco duro no coincida y nos lleve a

encontrar diversas fallas.

Como se ha mencionado anteriormente, este CD contiene herramientas para la resolución de estos

problemas, recomendándose el utilitario "Acronis Disk Director Suite" que permite, mediante un

ambiente gráfico, localizar el error y retomar el control. También posee una herramienta llamada HDD

Regenerator que recupera cualquier sector de disco duro con daños magnéticos

Legalidad

Hiren's BootCD se considera Warez y constituye una "infracción" del copyright del software. Aún

cuando contiene software libre y abandonware, contiene también programas con copyright del sistema

MS-DOS, por lo cual se debe tener en cuenta que al ser usado se puede infringir la ley de propiedad

intelectual (debido a la significativa cantidad de programas sin licencia). Esto hace que el disco sea

ilegal en algunos países.

Dr. Web

Dr. Web LiveCD

es un producto de

software que ofrece

una solución

completa de antivirus

ejecutable desde un CD

autónomo.

Dr. Web Permite comprobar

todos los archivos en los

sistemas de archivos Windows (FAT, FAT32 y NTFS).

Ophcrack es una utilidad para recuperar contraseñas de

Windows basado en tablas rainbow.

195

Aunque se puede instalar en el mismo sistema operativo del cual se quiere averiguar la contraseña, Ophcrack resulta más eficaz e interesante ejecutándose desde otro sistema operativo, instalado en otra partición o disco duro o ejecutarlo desde un LiveCD.

1. Descarga el .ISO del LiveCD de Ophcrack desde su web oficial. (http://ophcrack.sourceforge.net/)(412.4 MB)2. Quema la .ISO a un CD utilizando algún programa para quemar CD’s.3. Reinicia el PC y bootea desde el LiveCD.4. Selecciona “Iniciar Ophcrack”.

*Cuando el LiveCD terminé de cargar el sistema y el entorno de escritorio, Ophcrack iniciará automaticamente y comenzará a intentar decifrar la contraseña del Windows XP. Cuando haya finalizado, verás la contraseña de Windows bajo la tabla “NT Pwd”.

Ophcrack también está disponible como una aplicación más que puedes usar desde Linux para crackearla contraseña de tu Windows instalado en otra partición pero yo en lo personal preferí descargar el LiveCD para siempre tener esta gran herramienta siempre a la mano.

Según el autor, Ophcrack es capaz de recuperar el 99% de las contraseñas alfanuméricas en cuestión de segundos.

196

Ophcrack 2.1 es una aplicación que permite obtener las contraseñas de tu sistema Windows basado en el Ophcrack 1.0, disponible tanto para Windows como para Linux gracias a las libretrías GTK.

197

WiFiSlax

Wifislax es un CD de arranque que contiene al sistema operativo Linux. Puede hacer correr Linux directamente desde el CDROM sin instalación. Aunque lleva incorporado herramientas de instalación en el disco duro o en llaveros USB, o una emulación en Windows.

Wifislax esta basado básicamente y principalmente en SLAX (basado en la distribución SlackwareLinux), pero debido al gran trabajo realizado por los autores del BackTrack hemos trabajadodirectamente sobre este ultimo live CD, así pues catalogar al Wifislax como una live CD podría inclusoconsiderarse como erróneo. También están disponibles todos los scripts y códigos fuente, los cualespueden ser utilizados para construir tu propio live CD.

Hemos realizado una serie de modificaciones que pueda cambiar el concepto de remasterización, y porlo tanto definirlo como una propia live CD.

Tampoco la definición de traducción de la fuente original podría ser correcta, ya que no solo hemostraducido algunos aspectos importantes de trabajos anteriores, sino que hemos dotado a esta live CD deciertas características que la hacen únicas.

Hemos aumentado el reconocimiento de las tarjetas inalámbricas (wireless) porque ese es el objetivofinal de esta live CD, tener una herramienta de seguridad orientada al trabajo que tanto nos gusta, quees la auditoria inalámbrica, así pues a día de hoy, ya no dependemos de las aplicaciones y drivers queotros grandes grupos ensamblen en sus live CD, sino que dotaremos a nuestro sistema de lasaplicaciones que nosotros mismo hemos diseñado y traducido al español, u otras alternativas que lasconsideremos aptas para ello, solo tenéis que comunicarlo y al menos podemos prometer queintentaremos realizarlo.

198

En estos momentos no hay en Internet ninguna live CD que este integrada con los drivers de las famosaipw2200, los rt73 de las nuevas tarjeta USB con chipset ralink, las nuevas PCI con el chipset rt61, asícomo los acx y los ipw3945 de conexión y de auditoria, sin olvidar los novedosos zydas zd1211rw ycomo no los rtl8187 de ultima generación, además de los drivers de toda la vida para el entorno deseguridad wireless, madwifi-ng, realtek, etc. Y no solo nos ocupamos del simple análisis pasivo através del modo monitor con cualquier sniffer sino que además la hemos dotado de los parchesnecesarios para la aceleración de trafico.

Si consideras que wifislax es muy pesada y el proceso de descarga es muy lento, puedes probarprimero: Live CD Wifislax (versión reducida), que integra las funciones básicas para el wireless yel bluetooh con solo 290megas.

Nota legal: El uso de este software de análisis wireless debe ser una herramienta básica paraprofesionales y particulares que ansían conocer el nivel de seguridad de sus instalaciones inalámbricas,queda totalmente prohibido el uso de la misma para cometer actos delictivos de intrusión sobre lasredes wireless de las cuales no somos propietarios o no tenemos los permisos pertinentes para analizarsu nivel de seguridad. Es vuestra responsabilidad mantener la idea principal por la que se creoseguridad wireless y todo su entorno.

En lo que respecta a las aplicaciones, la hemos dotado de ciertas herramientas muy importantes para la

199

auditoria wireless que serán de fácil manejo para todos, y en la medida que ha sido posible, la hemos traducido al español, como por ejemplo el airoscript, que os recomiendo que lo probéis sobre todo a los recién llegados, así como el mismo airoscript especifico y adaptado para las ipw2200. Además hemos incorporado como una serie de lanzadores gráficos par facilitar el digamos estrés que muchos detractores de linux siempre han manifestado, que corresponde al exceso uso del teclado para muchas herramientas, aunque no olvidar que dichos lanzadores solo aglutinan una ínfima parte de las posibilidades de desarrollo con el trabajo con comandos básicos. Estos lanzadores son meras scripts gráficas de muy fácil uso, a a partir de las cuales podemos crear las nuestras especificas con el softwarede diseño y gestión que la misma live incorpora y que ya es funcional a partir de las versiónes 3.X del wifislax.

Una vez que tenemos corriendo el Live Cd en nuestra pc, en el momento del login poner los siguientes

datos:

user: root

pass: toor

y a continuación si queremos entrar al entorno gráfico escribimos startx y listo! ya estamos adentro!

Info de la página oficial:

Soporte para los chipset de las tarjetas wireless que más usamos y más nos interesan:

Prism54

Madwifi-ng

HostAP

Ralink rt2570 , 2500, rt73 y rt61

Zydas ZD1211rw

Intel pro wireless ipw2100 / ipw2200 / Intel pro wireless ipw3945

Realtek rtl8180 y rtl8187

Broadcom

Texas Instruments (acx)

videos disponibles en

http://www.wifislax.com/manuales/videos.php

200

201

Instituto Tecnológico de Costa Rica

Escuela de Ingeniería En Electrónica.

Programa de Técnicos en Mantenimiento/Reparación de PC´s

Curso: Diagnóstico y VirusInstructor: Ing. William Marin Morenowmarin@itcr.ac.cr.

Reparando Windows con Knoppix *

Ha utilizado Knoppix? Esta distribución de arranque para linux, la cual viene en formato de CD o DVD, puede

ser un salvavidas cuando su computadora se daña. En esta sección, le guiaremos a través del proceso de

reparación de windows con Knoppix, incluyendo el redimensionamiento de las particiones de Windows, resolver

problemas de archivos clave del sistema y recobrar información. Este es un capítulo tomado del libro de

tecnología extrema (ExtremeTech book) Hacking Knoppix.

Redimensionamiento de las Particiones de Windows

El particionando es una manera simple de segmentar tu disco duro en diferentes secciones. Los usuarios

avanzados tipicamente particionan su disco duro por razones de desempeño y creación de copias de seguridad

e inclusive para alojar varios sistemas operativos en la misma maquina, cuando el sistema es particionado por

primera vez, el tamaño de las particiones es determinado por la experiencia del instalador y las necesidades

proyectadas para la partición. Al paso del tiempo los requirimientos en el tamaño de la partición pueden

cambiar, necesitanto ser redimensionados.

En la actualidad existen una gran gama de aplicaciones comerciales como por ejemplo el Partition Magic, la cual

tiene la habilidad de reparticionar tu disco duro. Estos tienen un costo de $70 o más, pero por otro lado, puede

obtener las mismas funciones básicas usando funciones nativas de Knoppix, sin costo. En esta sección se

explica como redimensionar tu partición de Windows u otros sistemas de partición usando Knoppix y QTParted,

con una interfáz gráfica amigable con el usuario.

QTParted es compatible con las siguientes tipos de particiones de Microsoft (además de otros tipos de archivo

sistema no-windows)

* Artículo original: Scott Granneman, [http://www.extremetech.com/article2/0,1697,1918391,00.asp]

202

• FAT16—Usado principalmente en Windows 3.1 y primeras versiones de MS-DOS

• FAT32—Usado en Windows 95, 98, y ME

• NTFS— Usado en versiones de Windows basados en NT, incluyendo NT, 2000, XP , 2003 y Windows

Vista.

Existen otras herramientas gratuitas compatibles con una mayor cantidad de tipos de sistemasopertativos, como por ejemplo Gparted.

Preparando la Particion

Antes de redimensionar las particiones, se debe defragmentar las particiones, este proceso es muy sencillo,

reorganiza el disco duro, acomodando los archivos nuevamente de la manera más lógica posible, usualmente

en grupos y buscando errores.

A pesar de que el particionado con las herramientas descritas en este artículo son probadas a través del tiempo

y usadas por muchos usuarios, siempre cabe la posibilidad de generar un error inesperado en la partición o la

posibilidad de circunstancias desafortunadas, por eso es importante el contar con copias de seguridad de los

datos importantes.

Determine priemro los requerimientos en la distribución de los archivos de sistema antes de redimensionar sus

particiones. Necesitará esta información para obtener un manejo más efectivo de esta herramienta. Por ejemplo

si tiene una única partición en todo el disco duro que consiste en 100 GB, y quiere crear espacio para una

partición secundaria de Windows o Linux de 10 GB, debería redimensionar la partición primaria a 90 GB,

dejando 10 GB para la nueva partición a crear.

La herramienta QTParted no puede crear espacio donde no lo hay, por eso debe estar seguro que tienes los

requirimentos de espacio disponible que planea redimensionar. Si la partición primaria es de 100 GB y está

ocupada con 98 GB de datos, se tendría la posibilidad de crear una nueva partición de hasta 2 GB, dado que

ese es todo el espacio disponible.

Particionando con QTParted

Listo para particionar? Inicia la maquina con el disco de Knoppix y elige Knoppix > System > QTParted.

Una ventana similar a la mostrada en la figura 1 se abrirá.

203

Figura 1. Vista principal de Qtparted.

La lista de discos detectados aparecerá en la izquierda. La información referente al disco seleccionado

aparecerá abajo del panel izquierdo y en el panel derecho de la ventana con una lista de las particiones. En el

ejemplo de la figura 1 QTParted muestra que el primer disco (/UNIONFS/dev/hda) cuenta con dos particiones,

ambas de tipo de sistema de archivos de Windows, indicado con un pequeño icono en la columna del número

de partición. La columna de tipo identifica el sistema de archivos (NTFS, FAT32 o FAT16).

El gráfico de las particiones ubicado arriba de la lista indica la cantidad de espacio usado, por ejemplo la

partición NTFS usa 2.18 GB de sus 3.91 GB de espacio y la partición FAT32 usa 32.15 MB de sus 3,98 GB de

espacio.

Para iniciar la operación de redimensionado, se presiona el click derecho en la casilla gráfica de la partición que

se desea redimensionar, y selecciona operations > resize. El dialogo QTParted Resize Partition se abrira

(figura 2)

204

Figura 2. Cambiando el tamaño a una partición.

Puede usar la ventana gráfica en la parte superior, con el click izquierdo y mover los extremos para disminuir o

aumentar la partición, o puede escribir el valor de la partición que quieres en el espacio de nuevo tamaño (New

Size), la figura 3 muestra una partición redimensionada a 1 GB

Figura 3. Cambiando el tamaño de la partición a 1GB.

Cuando ha introducido la información correcta, presiona aceptar (OK) (en este momento los cambios deseados

todavía no han sido realizados de forma permanente).

La pantalla principal muestra las modificaciones (figura 4): dos particiones y un espacio gris que indica el

205

espacio libre que se creó luego del redimensionado. La nueva partición FAT32 es ahora de 996.22 MB y cuenta

con 2.99 GB de espacio libre. La partición redimensionada cuenta con un color solido, indicando que no se ha

terminado aún, y no se puede formatear hasta que se finalice.

Figura 4. Cambios listos para aplicar.

Si se han cometido errores, puede deshacer todo hasta dejarlo como estaba antes. seleccionando File >

&Undo y el sistema regresará al estado previo.

Ahora puede crear otra partición en el espacio libre haciendo click derecho en el espacio gris y seleccionar

&Create (o seleccionando Operation > &create). El objeto de dialogo QTParted Create Partition se abrira

(figura 5)

206

Figura 5. Crear una nuava partición

Presione la flecha en la derecha del texto Create as y seleccione el tipo de partición deseada (partición

primaria o extendida). Existe una limitación de 4 particiones primarias impuesta por el sector maestro de

arranque (Master Boot Record o MBR). Para solucionar este problema se creó la partición extendida para añadir

más particiones a una unidad. Una partición extendida es creada por la división de una de las 4 particiones

primarias en más divisiones llamadas unidades lógicas lógicas. La mayoria de los sistemas operativos son

instalados en una partición primaria e iniciados deesde allí (GNU/Linux es una excepción porque puede ser

iniciado desde la unidad lógica). Si se quiere crear una partición NTFS de 2.99 GB (todo el espacio vacio) como

una partición secundaria para copia de seguridad (backup) de Windows, el resultado será como lo muestra la

figura 6.

207

Figura 6. Creación de una nueva partición.

Después de haber realizado todas la lista de modificaciones deseadas y estar cómodo con los cambios, es

necesario hacer que los cambios sean permanentes (hasta este punto los cambios son "virtuales", o para

mostrar solamente). Para hacer que los cambios sean permanentes, seleccione File > &Commit. La figura 7

muestra el cuadro de diálogo de advertencia que aparece indicando que está a punto de realizar los cambios en

el disco duro permanentemente. Si tiene una partición de intercambio (memoria virtual) en la unidad que se

están realizando los cambios, y para evitar problemas se debe estar seguro que el swap está desactivado, ya

sea arrancando con Knoppix con la opción noswap o ejecutando desde la ventana de terminal el comandoswapoff -a

Figura 7. Advertencia antes de aplicar los cambios

Seleccione [YES]. Una ventana muestra el progreso de las modificaciones y el tiempo estimado hasta la

finalización. Si todo es éxitoso, los cambios se realizaran en el disco duro y el cuadro de diálogo se parece al de

la figura 8.

208

Figura 8. Avance de los cambios.

Después de completar el cambio de tamaño, puede dar formato a de nuevo las particiones con QTParted-

solamente se tiene que seleccionar Operations > Format

Realizar cambios ante problemas con archivos de sistema

A veces Windows tiene archivos que están dañados o desaparecidos, menoscabando gravemente, o incluso

impidendo el funcionamiento del sistema. Si le ha sucedido esto antes, usted sabe que una de sus opciones es

comenzar desde cero o intentar recuperar el sistema usando la Consola de Recuparación de Windows. El

conjunto de utilidades incluidas en esta herramienta es escasa y difícil de utilizar. Knoppix, por otro lado, ofrece

una amigable y muy potente, en el que para arreglar algunas cuestiones que puede encontrar.

Por defecto, Knoppix puede leer un gran conjunto de sistemas de archivos, pero no cuenta con soporte de

escritura en algunos de ellos. Hay algunos problemas conocidos con Knoppix 3,8 y superiores en lo

correspondiente a escritura en los sistemas de archivos NTFS (el predeterminado de Windows 2000, XP y

Vista). La versión 5.3.1 parece no tener problemas de escritura.

Accesando el boot.ini para Resolver problemas de Inicio.

El archivo boot.ini es utilizado por los sistemas basados en Windows NT (NT, 2000, XP, 2003 y Vista) para

209

iniciar el sistema correctamente en el entorno operativo de Windows mostrando una lista de los sistemas

operativos que reconoce y dirigir el sistema seleccionado hacia el ambiente de trabajo. Si el archivo está

corrupto, dañado, o desaparecido, no puede iniciar Windows correctamente.

El archivo boot.ini puede ser dañado si se reinicia un sistema incorrectamente, pueden estar ausentes si alguien

lo borra accidentalmente, o, bueno, hay muchas otras causas de este error.

Si inicia el sistema y se tiene un mensajede error indicando que el archivo boot.ini es invalido o Windows no

puede iniciar mensaje de error, la causa más probable es un archivo boot.ini no un válido o dañado. Para

corregir este problema, es necesario editar el archivo boot.ini existente o crear uno nuevo, genérico. En primer

lugar, se debe tener derechos de escritura en la partición de Windows (Knoppix monta por defecto todas las

particiones existentes como sólo lectura) con el click derecho en la unidad y seleccionando Propiedades busque

en la pestaña Dispositivos, asegúrese de que la opción sólo lectura sea desactivada para que la unidad sea

escribible.

Precaución: Modificar particiones NTFS puede causar problemas significativos, es preferible escribir sobre

particiones FAT.

Una vez que tienen la capacidad para escribir en el sistema de ficheros, localice en el directorio de arranque de

Windows, (normalmente la raíz de C:, que aparecerá en Knoppix como hda1).

Primero realice una copia del archivo pulsando con el botón derecho y seleccione copiar. A continuación,

pegue la copia en su directorio de Windows en caso de que necesite de ella más adelante.

210

Figura 9. Localización del archivo boot.ini

Edite el archivo boot.ini con su editor favorito, la figura 10 muestra el editor Kwrite

Figura 10. Edición de boot.ini con Kwrite

Seguidamente se muestra un boot.ini genérico para Windows XP Home Edition.

[boot loader]

timeout=30

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft

Windows XP Home Edition" /fastdetect

211

El significado de las secciones y variables del archivo son:

-timeout: especifica cuánto tiempo el sistema debe esperar a la entrada del usuario, mientras que el menú de

arranque se despliega.

-default: identifica que la selección de Windows reconoce el sistema operativo (identificados en la sección

[operating systems]) será arrancado si el usuario no hace ninguna selección en el menú de arranque. La

sección [sistema operativo] identifica todos los sistemas operativos Windows reconocibles que puede ser

arrancado por el menú de arranque.

-Multi: Indica que este sistema tiene una unidad IDE o ESDI y casi siempre es 0. Si está utilizando una unidad

SCSI sin soporte del BIOS, aparecerá como scsi (0) en lugar de multi(0). (Nota: los sistemas Windows NT que

utilizan SCSI tienen multi). E designador de discos ess 0 si tiene multi . Si se usa un adaptador scsi, se debe

indicar el número del bus SCSI, como por ejemplo con rdisk(1) para el disco secundario y rdisk(0) para el

primario. Si está utilizando scsi, esta opción es siempre 0.

-Partition: indica la partición en la que reside el archivo de arranque. Si se encuentra en la segunda partición

primaria, usted deberá escribir partition(2). No se debe escribir partition(0) porque no existe la partición 0. La

última parte identifica el directorio en el que reside Windows (en este caso \WINDOWS (este puede ser cualquier

cosa dependiendo de la versión de Windows y la forma en que el sistema fue instalado). Todo después de que

el signo igual entre comillas y muestra lo que aparecerá en el menú de arranque para el usuario.

La mayoría de los problemas con el boot.ini se dan porque se daña el archivo (o mala configuración si se editó

o fué modificado). Puede utilizar la información anterior para recuperar simplemente la sustitución o la adición

de líneas por defecto.

Para saber más de la edición y configuración del boot.ini, visite éste artículo de la base de conocimientos de

Microsoft. (Cómo modificar el archivo Boot.ini en Windows XP. Artículo 289022).

Una vez finalizada la edición del archivo boot.ini, apague el computador, extraiga el CD de Knoppix y reinicie el

sistema.

Editar el registro del sistema.

El registro es el archivo de configuración central donde Windows mantiene un registro de toda la información

específica de la localización, ajustes y configuraciones de los archivos del sistema operativo. El registro se

puede editar de una forma muy sencilla utilizando el programa nativo de Windows regedit en Knoppix, solamente

se debe digitar el siguiente comando en una ventana de terminal (consola):

212

regedit

Este comando invoca a Wine (http://www.winehq.org/) y éste ejecuta el Editor de Registro de Windows (conocido

como regedit), tal y como se muestra en la Figura 11. (El Wine es una aplicación de código abierto que parmite

ejecutar APIs** de Windows en GNU/ Linux. Algunas personas piensan en Wine como un emulador de Windows,

pero los desarrolladores de Wine lo llaman "capa de compatibilidad" de Windows para Unix.)

Figura 11. Editor del Registro ejecutado por Wine.

Todo la funcionalidad que usted encuentra en el funcionamiento del editor de registro en Windows esta

disponible con Wine, incluida la importación de una copia de seguridad del registro y guardar un registro

modificado, algunas de las versiones de Knoppix incluyen un excelente editor de registro de Windows (nativo de

Linux) llamado Offline NT Password & Registry Editor (chntpw***), un programa que le permite modificar el registro

de Windows, así como las contraseñas de Windows.

Knoppix versiones 3,8 y posteriores no incluyen chntpw por defecto, pero el software está disponible a través de

APT (digite sudo apt-get install chntpw en una ventana de terminal), así como a través del programa Klik.

Recobrando Información

Si Windows falla por completo y no puede ser recuperados utilizando el editor de registro o el boot.ini, y no se

posee un respaldo de la información de usuario, Knoppix permite acceder a la partición de Windows y guardar

los datos importantes en múltiples tipos de almacenamiento para su restauración posterior, incluyendo unidades

USB (también llamados unidades flash o llave maya), CD-Rs y DVD-Rs, y la copia de datos a través de la red.

Esta sección explica cómo guardar y recuperar los datos que se pueden restablecer después de haber

reinstalado Windows.

** Application Programming Interface*** http://home.eunet.no/~pnordahl/ntpasswd/

213

Preparación para la Recuperación de Datos.

El error más común en la recuperación de datos de un sistema sucede cuando se esta incurriendo en omisiones

a causa de la prisa, así que debe tomarse el tiempo necesario y asegurarse de que se esta recuperando todo

lo valioso.

La localización de los archivos más valiosos para un usuario se encuentra generalmente donde se almacena su

perfil:

● C:\Documents and Settings\nombre_del_usuario

En Knoppix normalmente aparecerá como /mnt/hda1/Documents and Settings), que es donde Windows

por defecto guarda la mayoría de los archivos de los usuarios, documentos, música, imágenes, etc. Si hay

alguna dirección no estándar en los directorios que usted o sus usuarios usan para guardar los datos,

considere la posibilidad de guardarlos también.

Sugerencia: Después de haber guardado todos los archivos que usted piensa que necesita, siempre es una

buena idea comprobar que los datos se ha guardado correctamente. Navegue por el medio de copia de

seguridad y abra archivos al azar para asegurar que los datos son válidos.

Almacenamiento de datos en una unidad USB. (NO se llama llave maya!!!!)

Knoppix reconoce la unidad USB casi inmediatamente después de la unidad se ha conectado. A partir de ese

momento, se trata de una cuestión trivial para guardar los datos de la partición de Windows a la unidad USB,

que es representada por el icono USB en el escritorio. Para guardar la información en la unidad, sólo se tendrá

que habilitar la escritura presionando click derecho, en el icono de la unidad usb, y seleccionando Propiedades.

Haga clic en la pestaña de dispositivos, que se parece mucho el cuadro de diálogo se muestra en la Figura 12, y

luego desmarcar la casilla Sólo lectura para permitir la escritura a la unidad. Haga clic en Aceptar para cerrar la

ventana.

214

Figura 12. Propiedades de la unidad USB.

Monte la unidad pulsando con el botón derecho sobre el icono de la unidad y seleccione Montar.

Puede utilizar la línea de comandos, con el comando cp para mover archivos entre el disco duro y la unidad

USB (normalmente / dev/uba1), o si lo prefiere, puede abrir dos ventanas de Konqueror (véase figura 13) y

arrastrar y soltar.

215

Figura 13. Moviendo archivos con dos estancias de Konqueror

La única limitación para salvar los archivos de esta manera es la velocidad de la transferencia de archivos y la

capacidad de la unidad USB.

Grabación de datos en un CD o DVD

La grabación de archivos en CD o DVD es muy sencilla en Knoppix, el cual incluye K3B, un grabador de CD's

amigable con el usuario, que no se aleja de los (más caros) programas comerciales. Seleccione Knoppix>

Multimedia> k3b y el programa se abrirá. La aplicación en pantalla es similar a la que se muestra en la

Figura 14.

216

Figura 14. Grabador de archivos K3B.

Seleccione Nuevo Proyecto de CD de datos o DVD de datos en la ventana de nuevo Proyecto. Navegue

a los archivos que desea guardar, arrastrando y soltando a la sección Proyectos actuales de la pantalla. La figura

14 muestra los archivos guardados en /mnt/hda1/Documents and settings listos para ser guardados en la unidad de

DVD. El gráfico en la parte inferior de la pantalla se muestra el tamaño del archivo (más de 890 MB). Una vez

que han puesto todos los archivos que se desea grabar en la sección Proyectos actuales, haga clic en el icono de

grabación en la parte superior izquierda de la ventana de aplicación.Aparecerá un cuadro de diálogo similar a la

que se muestra en la figura 15.

217

Figura 15. Inicio del proceso de grabación de archivos en un CD o DVD

Después de establecer cualquier configuración específica que necesite, haga clic en el botón Grabar para iniciar

el proceso de escritura. Cuando k3b finaliza su proceso, puede navegar el CD / DVD para asegurar que los

datos estén debidamente almacenados.

Enviándose Datos a si Mismo (correo electrónico)

Otra opción que muchas veces se pasa por alto es el usar el correo electrónico para enviar los datos a si

mismo. Con los tamaños actuales de gran capacidad tanto en los servicios de correo basados en la web

(gracias, Gmail!) y servicios de correo electrónico personal, generalmente puede enviar todos los datos que

usted necesita respaldar a través del correo electrónico, sin preocupaciones sobre la capacidad de la cuenta de

correo. Sin embargo, si aún es necesario tener en cuenta que su servicio de correo electrónico probablemente

tiene algún límite en el tamaño de los archivos adjuntos. Por ejemplo, Gmail limita los archivos adjuntos a un

máximo de 10 MB.

218

Para guardar los datos por correo electrónico, sólo tiene que utilizar los programas de correo KMail o

Thunderbird, disponibles en Knoppix > Internet. Establecer si su correo utiliza cuenta POP o IMAP, y luego

adjuntar sus archivos a recuperar y enviar el correo. Si utiliza una cuenta de correo electrónico basada en la

Web, como Yahoo! o Gmail, puede simplemente usar Firefox u otro navegador Web y adjuntar los archivos

como lo haría normalmente.

Precaución: Tenga en cuenta que el correo electrónico no es normalmente un método de cifrado de

transmisión, lo que significa que alguien podría interceptar sus archivos y ser capaz de leer los datos.

Copia de datos a través de la red

Knoppix incluye la capacidad para transferir los archivos importantes a través de una red. La forma más fácil de

conseguir esto es que Knoppix ejecute un servidor SSH**** por usted. SSH proporciona la capacidad interactiva

para acceder (o “loggearse”) a su sistema de Knoppix, así como la transferencia de archivos, todo a través de

una transmisión codificada, lo que significa que nadie debería interceptar su comunicación, siendo muy difícil

descifrar sus datos en tiempo real. Si el sistema para que usted está transfiriendo los archivos se encuentra en

un Linux o Knoppix , la capacidad de transferir archivos con el protocolo sftp también está incorporado en el

sistema. Si está transfiriendo archivos a un sistema Windows, necesita descargar un cliente SFTP

(recomendamos una versión gratuita WinSCP, disponible en WinSCP.net)

Para permitir la conexión remota desde otro equipo Linux o Windows y conectarse al sistema de Knoppix del

que se desea realizar copias de seguridad, se debe iniciar el servidor SSH Knoppix seleccionando Knoppix>

Services> start SSH Server. Una claves que se utilizará para el cifrado de los datgos se genera en la

ventana al abrirse. Introduzca una contraseña segura y, a continuación, introduzca por segunda vez la misma

contraseña. La contraseña que introduzca aquí se utiliza cuando acceda el sistema a través de SFTP, y es

sensible a mayúsculas y minúsculas, así que debe asegurarse de recordar de la contraseña exacta.

Además se necesita conocer la dirección IP del sistema (puede usar el comando ipconfig o ipconfig eth0 para

determinar su dirección IP, la cual consta de cuatro conjuntos de números separados por puntos, como por

ejemplo 192.168.1.1). Usando WinSCP u otro cliente SFTP / SCP, puede conectarse a su máquina con Knoppix

usando la dirección IP.

Introduzca Knoppix como el nombre de usuario y, a continuación, introduzca la contraseña que ha

creado anteriormente. Ahora puede navegar por el sistema de archivos para encontrar los archivos que desea

copiar al sistema remoto a través de comandos SFTP si se está conectando a través de la línea de comandos,

****SSH (Secure SHell) es el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a máquinas remotas a través de una red

219

o arrastrando y soltando si está utilizando una aplicación gráfica como WinSCP.

Resumen

Knoppix ofrece una gran cantidad de herramientas para recuperación y mantenimiento de Windows que le

permiten recuperar el sistema sin ni siquiera iniciar sesión en Windows. Este artículo ha puesto de manifiesto

cómo redimensionar el tamaño de una partición Windows usando QTParted y cómo realizar una copia de

seguridad y modificar los archivos de Windows en caso de desastre. Con la información proporcionada en este

artículo, usted conoce la manera de mantener la cordura la próxima vez que Windows colapse. Sólo asegúrese

de no disfrutar la próxima vez que otros usuarios de Windows se enfrentan los problemas; en lugar de ello,

entrégueles una copia de Knoppix.

Artículo original de http://www.extremetech.com .

Modificado por William Marin.

Cómo modificar el archivo Boot.ini en WindowsXP

Id. de artículo:289022

Última revisión:lunes, 06 de agosto de 2007

Versión:3.1

Este artículo se publicó anteriormente con el número E289022

ResumenEn este artículo se describe cómo ver y configurar en forma manual el archivo Boot.ini en Windows XP desde el cuadro de diálogo Inicio y Recuperación.

En Windows XP, puede buscar rápida y fácilmente el archivo Boot.ini para comprobar y/o editar el archivo.

Se recomienda hacer una copia de seguridad del archivo Boot.ini antes de editarlo. Entre las primeras tareas se requerirá modificar la opción de carpeta de manera quepueda ver archivos ocultos y, a continuación, realizar una copia de seguridad del archivo Boot.ini.

220

Guarde una copia de seguridad del archivo Boot.ini

1.

Haga clic con el botón secundario del mouse en Mi PC y, a continuación, haga clic en Propiedades. O bien Haga clic en Inicio y en Ejecutar, escriba sysdm.cpl y, a continuación, haga clic en Aceptar.

2.

En la ficha Opciones avanzadas, haga clic en Configuración en Inicio y recuperación.

3.

En Inicio del sistema, haga clic en Editar. Esto abre el archivo en Bloc de notas listo para editar.

4.

En Bloc de notas, haga clic en Archivo en la barra de Menús y, a continuación, haga clic en Guardar como.

5.

Haga clic con el botón secundario en una área vacía del cuadro de diálogo Guardar como, elija Nuevo en el menú Contexto y, a continuación, haga clic enCarpeta.

6.

Escriba un nombre para la nueva carpeta, por ejemplo temp y presione la teclaENTRAR para crear la carpeta llamada temp.

7.

Haga doble clic en la nueva carpeta llamada temp y, a continuación, haga clicen el botón Guardar para guardar una copia de seguridad del archivo Boot.ini.

Editar el archivo Boot.ini

Para ver y editar el archivo Boot.ini:

1.

Haga clic con el botón secundario en Mi PC y, a continuación, haga clic en Propiedades. O bien Haga clic en Inicio y en Ejecutar, escriba sysdm.cpl y, a continuación, haga clic en Aceptar.

2. En la ficha Avanzado, haga clic en Configuración en Inicio y recuperación.3. En Inicio del sistema, haga clic en Editar.

Archivo Boot.ini de ejemplo

Éste es un ejemplo de un archivo Boot.ini predeterminado de un equipo que usa Windows XP Professional. [boot loader]timeout=30default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS[operating systems]multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect

Éste es un ejemplo del archivo Boot.ini mencionado antes con una instalación anterior de Windows 2000 en una partición separada.

[boot loader]timeout=30default=multi(0)disk(1)rdisk(0)partition(1)\WINDOWS[operating systems]multi(0)disk(1)rdisk(0)partition(1)\WINDOWS="Windows XP Professional" /fastdetectmulti(0)disk(0)rdisk(0)partition(2)\WINNT="Windows 2000 Professional" /fastdetect

221

Modificar el archivo Boot.ini

Si bien puede modificar el archivo Boot.ini mediante el cuadro de diálogo Inicio y recuperación, donde puede seleccionar el sistema operativo predeterminado, cambiar el valor de tiempo de espera o editar manualmente el archivo, el método siguiente utiliza la utilidad de línea de comandos, Bootcfg.exe.

1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar.

2. En el cuadro de texto Abrir, escriba cmd.3. En el símbolo del sistema, escriba bootcfg /?.

4. Aparecerán la ayuda y los parámetros para BOOTCFG.exe.

Agregar un sistema operativoEn el símbolo del sistema, escriba: bootcfg /copy /d Descripción del sistema operativo /ID.#Donde Descripción del sistema operativo es una descripción del texto (por ejemplo, Windows XP Home Edition) y donde # especifica el Id. de entrada de inicio en la sección de sistemas operativos del archivo BOOT.INI del cual la copia tiene que serrealizada.

Quitar un sistema operativoEn el símbolo del sistema, escriba: bootcfg /delete /ID#Donde # especifica el Id. de entrada de inicio que desea eliminarse de la sección de sistemas operativos del archivo BOOT.INI (por ejemplo, 2 para el segundo sistemaoperativo que aparece en la lista.

Configurar el sistema operativo predeterminadoEn el símbolo del sistema, escriba: bootcfg /default /ID#Donde # especifica el Id. de entrada de inicio en la sección de sistemas operativosdel archivo BOOT.INI que se convertirá en el sistema operativo predeterminado.

Configurar el tiempo de espera

En el símbolo del sistema, escriba: bootcfg /timeout# Donde # especifica el tiempo en segundos después del cual se cargará el sistema operativo predeterminado.

Abrir el archivo Boot.ini para comprobar los cambios

1.

Haga clic con el botón secundario en Mi PC y, a continuación, haga clic en Propiedades. O bien Haga clic en Inicio y en Ejecutar, escriba sysdm.cpl y, a continuación, haga clic en Aceptar.

2. En la ficha Avanzado, haga clic en Configuración en Inicio y recuperación.3. En Inicio del sistema, haga clic en Editar.

222

i