Blog de Alexis Abarca

Recientemente se descubrio un bug que esta presente en todas las versiones Windows de 32 bits y esta relacionada con la VDM que es la maquina virtual que corre las aplicaciones de 16 bits en los sistemas de 32 bits. La falla permite alterar la pila de procesos del kernel y asi poder ejecutar codigo con los maximos privilegios.

Mientras se soluciona el problema se recomienda deshabilitar la VDM si no ejecutas aplicaciones de 16 bits.

Deshabilitar la VDM si dispones de gpedit.msc (Editor de directivas de grupo)

Si dispones de este programa para deshabilitar las aplicaciones de 16 bits debes seguir los pasos de la imagen

Configuracion equipo –> Plantillas administrativas –> Componentes de Windows –> Compatibilidad de aplicacion –> Impedir el acceso a aplicaciones de 16 bits = Habilitado.

Deshabilitar la VDM si NO dispones de gpedit.msc

Las ediciones basicas de Windows Vista y Windows 7 no tienen esta utilidad, para eso debes deshabilitar la VDM directamente desde el registro.

Puedes copiar y pegar el texto dentro de un archivo .reg e importarlo

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppCompat]
"VDMDisallowed"=dword:00000001

Comprobar si la VDM esta deshabilitada

Corriendo este programa de 16 bits puedes comprobar si la VDM esta habilitada o no, lo que hace el programa es solamente pedir 40.000.000 bytes de memoria, si falla ir decrementando la solicitud de memoria hasta que sea exitosa y arrojar resultado. (El programa es para comprobar que los programas de 16 bits en la VDM tienen un limite de 32 MB de memoria, eso ya es otro asunto…)

Si la VDM esta deshabilitada debes recibir este mensaje

Sino se ejecuta el programa normalmente

Descarga del programa con codigo fuente

• Link 1 subido por mi
• Link de la pagina original donde estaba el programa

En el MSN Messenger no puede faltar los que se infectan con virus y estos se autoenvian a traves de este programa, el caso de ahora es un virus que al momento de enviarse dice

Te la dedico :$ http://servidor.com/dedicaciones/archivo.mp3

Inmediatamente inicie Ubuntu y descargue el archivo mencionado con wget. Tal como lo esperaba ese link redireccionaba a otro que descargaba un archivo tipo archivo.mp3.exe, tipico de este tipo de virus.

El virus tambien lo descargue en una maquina virtual y tiene un icono de una cancion para hacer creer que es una, ademas como Windows oculta por defecto las extensiones de archivos conocidos, solo aparece la extension falsa

Al ejecutar el archivo sale la primera barrera de seguridad, con esta ya se advierte que es un ejecutable y que el archivo no esta firmado

Al ejecutar el archivo no sucede nada aparentemente, solo queda cargando por un rato, pero si reviso el administrador de tareas se ve que se instalo en la carpeta Windows y creo otro nombre

Luego de reiniciar cuando se va a cargar salta la advertencia de seguridad de Windows, ahora mencionando el nuevo ejecutable

El virus para que se inicie automaticamente al encender el sistema se pone en las dos claves que salen en la imagen.

Para eliminar el virus primero debes terminar su proceso, en el Administrador de tareas ficha procesos o en el Process Explorer seleccionalo y presiona SUPR para terminarlo. Luego elimina las dos entradas que salen en la imagen que hacen que se inicie al encender el sistema, para eso use el programa Autoruns.

Y eliminar el archivo de c:\windows, este archivo esta oculto, asi que hay que activar la opcion de mostrar los archivos ocultos y de sistema.

Luego de esto reinicia y si abres Process Explorer veras que ya no esta el virus ejecutandose.

Links:

• Process Explorer
• Autoruns

Hace menos de un año publique un articulo similar, pero enfocado al router Dlink DI 524 y la serie DI. Ahora este articulo es para el router DIR 280 que estoy usando y la serie DIR donde el menu de configuracion fue rediseñado y ademas ahora existe la seguridad WPA2.

Primero debes entrar al menu de configuracion del Router a traves del navegador con la URL http://192.168.0.1

Por defecto el usuario es admin y la contraseña en blanco, es recomendable cambiar el usuario/contraseña despues de entrar en la configuracion.

Llegas a este menu, entras en Wireless Setup

Hace clic en Manual Wireless Connection Setup

Llenas los campos como en la imagen

• Enable Wireless: Activa o desactiva la red inalambrica, si no la usas puedes desactivarla y no podran colgarse a tu red porque ni siquiera existira .
• Wireless Network Name (SSID): El nombre de la red, este aparecera en los clientes.
• Enable Hidden Wireless: Con esto oculta el SSID con lo que tu red no aparecera en los clientes o aparecera sin nombre, para conectarse deberan ingresarlo junto a la clave.
• Security Mode: La seguridad a usar, debes seleccionar WPA only, WPA2 only o WPA/WPA2, nunca seleccionar WEP ni desactivar la seguridad.
• Cipher Type: AES
• PSK/EAP: Como no tenemos ningun servidor RADIUS selecciona PSK.
• Network Key: La clave de la red, entre 8 y 63 caracteres, o 64 en hexadecimal (0-9, A-F).

Luego presionar en Save Settings y luego de que se reinicie el router la red estara configurada.

Windows es conocido por sus vulnerabilidades de seguridad, virus, spyware que tiene, en comparacion a Linux que es mas seguro. No abordare las diferencias entre estos dos sistemas, aunque si pondre cosas en Windows que ya se aplican en linux.

En linux nunca hay que iniciar sesion graficamente con el usuario root ya que es el super-administrador del sistema y cualquier programa malicioso que se ejecute bajo este usuario afectara a todo el sistema. En windows sucede algo similar, estan los usuarios administradores, usuarios, usuarios avanzados e invitados.

La diferencia es que en Windows la mayoria de la gente tiende a usar cuentas de administrador con el consiguiente riesgo de seguridad, entonces el consejo es crear cuentas con privilegios de usuario y dejar la de administrador para labores administrativas que se quieran hacer, aunque igual puedes ejecutarlas bajo tu cuenta usando la opcion Ejecutar como…

El ejemplo aplicado a mi PC

El unico usuario administrador es root, las demas cuentas son de usuario, el grupo Nero les da permiso para usar este programa. Yo ademas estoy en el grupo Operadores de configuracion de red para poder activar/desactivar la red, cambiar opciones TCP/IP. Mas adelante explicare el proposito del usuario daemons.

Ejecutar programas como otro usuario, asi no necesitas cambiarte de cuenta.

El hecho de usar cuentas de usuario te puede dar problemas al momento de instalar programas ya que no tienes los privilegios de escribir en la carpeta archivos de programa. Para eso debes hacer clic con el boton derecho y usar la opcion Ejecutar como…, ahi te aparece la ventana de la imagen anterior.

En ciertos casos el instalador se puede llamar setup.exe, en este caso bastara hacerle doble clic y te aparecera esta ventana donde escribes la password del administrador.

Estas dos formas te permiten "elevarte" a administrador graficamente, por consola puedes usar el comando runas. Este tiene varias opciones, pero la mas importante y la que vas a usar es /user, ahi pones el nombre del usuario administrador que tengas.

runas /user:administrador cmd

Con este comando ejecutas el simbolo del sistema como administrador.

Mas adelante seguire este tema…