sábado, 10 de abril de 2010

9: La usurpación de la “Restauración del sistema”

La herramienta Windows XP conocida como “Restaurar sistema”, con la cual los usuarios supuestamente en caso de problemas o de infecciones virales pueden regresar fácilmente su máquina a un punto de restauración anterior en el cual la máquina funcionaba bien depende para llevar a cabo su propósito del programa ejecutable rstrui.exe, un archivo de 371 Kbytes y el cual por lo general se encuentra bajo la siguiente carpeta (la cual no se puede ver a menos de que desde el menú de “Herramientas” del Windows Explorer se haya activado la opción para “Mostrar el contenido de las carpetas de sistema” bajo la pestaña “Ver” bajo la selección “Opciones de carpeta...”):

C:\WINDOWS\system32\Restore\rstrui.exe

Teóricamente, después de una infección viral informática, solo hay que echar mano de esta herramienta para regresar la máquina a una condición anterior y liberarla de infecciones. Al menos esa era la teoría argumentada por Microsoft. En la práctica, esta herramienta ha demostrado ser uno de los puntos más vulnerables del sistema operativo Windows XP pese a la continua emisión de parches para intentar darle a esta herramienta la garantía de protección que supuestamente le iba a dar a los usuarios. Lo más común es que cuando un usuario que ha caído víctima de un ataque como Spyware Protect 2009 intente echar mano de esta herramienta, se encontrará que dicha herramienta simplemente no responde, que el sistema se queda colgado sin hacer nada después de que se ha escogido un punto de restauración previo y se ha echado a andar. En pocas palabras, no se restablece absolutamente nada, la máquina se queda inmóvil. Y lo peor del caso es que cada punto de restauración va consumiendo una cantidad importante de espacio en el disco duro, de modo tal que después de algunos años de uso la máquina posiblemente tenga consumido hasta un 12 por ciento del espacio disponible en puntos de restauración que terminan siendo adornos inútiles cuando no es posible hacer trabajar a la herramienta de restauración del sistema tras una infección informática.

Obviamente, basta con infectar al mismo archivo rstrui.exe para inutilizar permanentemente esta herramienta, porque podrá restaurar todo lo demás menos restaurarse a sí misma. Y si puede restablecerse a sí misma, hay varios puntos en el Registro en donde un intruso puede meter mano deshabilitando la restauración del sistema. Peor aún, Microsoft no dá ningún procedimiento para el rescate de la máquina cuando la función de restauración del sistema ha sido neutralizada, excepto los pasos obvios que muchos conocen de sobra y que no sirven para nada.

Antes de continuar, el usuario al que le sea imposible tratar de regresar su máquina a lo que era antes en algún día previo a la infección, tal vez le interese probar el siguiente procedimiento que posiblemente pueda devolverle aunque sea temporalmente el control de la herramienta de “Restaurar sistema” la cual depende de recurrir a un archivo poco conocido del sistema operativo Windows XP, el archivo sr.inf:

1) Recurrimos primero al botón de “Inicio” (Start).

2) De allí nos vamos a la línea “Ejecutar” (Run)

3) Escribir en la cajita de dialogo lo siguiente (se puede tomar de aquí mismo la hilera completa de caracteres por copiado y empastado):

C:\windows\inf

y oprimir “Aceptar”. Este paso nos envia a la carpeta “inf“” en donde vamos a buscar el archivo sr.

3) Localizar el archivo “sr.inf” (o simplemente sr). Este es un archivo de 10 Kb.

4) Hacer click con el botón derecho del ratón sobre el archivo dicho archivo.

5) Seleccionar la opción “Instalar” y seguir los pasos indicados.

Una nueva estrategia ha sido detectada en ciertas variantes de Spyware Protect 2009, la cual consiste en usurpar la capacidad automática de la máquina para poder regresar a la máquina a la condición de una etapa previa a la infección (llevada a cabo con la herramienta para “Restaurar Sistema”). El sistema operativo Windows utiliza dicha herramienta para hacer copias de respaldo selectivo de ciertos archivos para enviar los archivos de respaldo hacia una carpeta hecha para tal propósito. Esto significa que cuando un archivo infectado es respaldado con su respectiva copia de respaldo la cual es enviada a dicha carpeta en caso de que el archivo sea borrado manualmente por el usuario o por un programa antivirus, dichas copias de respaldo no solo no podrán ser detectadas por el programa antivirus sino que cada vez que se borre manualmente un archivo infectado el archivo será restaurado automáticamente en su lugar original a partir de la copia del mismo por esta herramienta de Windows, con lo cual un programa antivirus por bueno que sea estará borrando el archivo infectado interminablemente al estarse creando de manera automática una copia del mismo. En pocas palabras,la máquina es restaurada al día en el cual ocurrió la infección, pero inmediatamente después de haber ocurrido la infección, no antes. Con esto, cada vez que se apaga y se enciende la máquina, la infección es reconstituída interminablemente. Para impedir esta usurpación de la herramienta “Restaurar Sistema” con este propósito, se vuelve necesario deshabilitarla (sobre todo si se le va a dejar a un programa antivirus la tarea de eliminar automáticamente una infección). El procedimiento es el siguiente:

1) Se hace clic con el botón derecho del mouse en el ícono de “Mi PC” y se escoge la opción “Propiedades”.

2) Se selecciona la pestaña “Restaurar Sistema” (System Restore).

3) Se marca con su palomita respectiva el casillero “Desactivar Restaurar sistema en todas las unidades”.

4) Se oprime el botón “Aceptar” (OK).

Una vez hecho lo anterior, se puede proceder a correr un buen programa antivirus con la certeza de que el infector no podrá recurrir a la restauración del sistema para activar las copias de respaldo de archivos infectores encargados de mantener viva la infección en la máquina.

Otra alternativa disponible, aunque no tan efectiva como la anterior, para impedir que un virus potente mantenga a la maquina regresando a la fecha en la cual ocurrió una infeccion restaurando con ello los archivos maliciosos, consiste en borrar todos los puntos de restauración. Esto tiene una ventaja adicional que debería ser considerada incluso como parte de un programa de mantenimiento preventivo de la máquina: la función de restauración del sistema puede consumir un 12 por ciento (o más inclusive) del espacio disponible en el disco duro, quitando la capacidad de la misma para poder almacenar información voluminosa como videos, ya que cada punto de restauración hace una réplica completa de lo que haya cambiado en el Registro, de los archivos del sistema que hayan cambiado, de lo que haya sido actualizado e inclusive de programas esenciales que hayan sido instalados, lo cual consume una enorme cantidad de espacio, de modo que la eliminación manual de puntos de restauración puede ser algo deseable en un disco duro al que se le está agotando su espacio disponible. Desafortunadamente, el punto de restauración más reciente siempre es conservado por Windows XP, y si dicho punto de restauración es el mismo que aquél en el cual ocurrió la infección, ello no servirá de nada, ya que los cambios hechos a la máquina por una infección informática son retenidos en los puntos de restauración posteriores.

El procedimiento para llevar a cabo la eliminación de todos los puntos de restauración excepto el último es el siguiente:

1) Primero que nada, la documentación técnica de Microsoft recomienda llevar a cabo un ciclo para asegurarnos de que el procedimiento funcione, el cual consiste en recurrir primero al botón de “Inicio” (Start).

2) De allí, nos vamos al “Panel de control”.

3) Hacemos clic en el ícono del “Sistema”.

4) Seleccionamos la pestaña de “Restaurar sistema”.

5) Marcamos con una palomita el casillero “Desactivar Restaurar sistema en todas las unidades”.

6) Oprimimos el botón “Aplicar”.

7) Sin salir de la ventana, desmarcamos el casillero “Desactivar Restaurar sistema en todas las unidades” que acabábamos de activar, dejándolo en blanco.

8) Oprimimos el botón “Aceptar”.

9) Terminado el ciclo anterior, recurrimos nuevamente al botón de “Inicio” (Start).

10) Nos vamos a la línea “Todos los programas”.

11) Seleccionamos la opción “Accesorios”.

12) Tras lo anterior, seleccionamos la opción “Herramientas del sistema”.

13) Hecho lo anterior, seleccionamos “Liberador de espacio en disco”.

14) Seleccionamos la pestaña de “Más opciones”.

15) Nos vamos a la opción “Restaurar sistema” y oprimimos el botón “Liberar...”:





Tras esto, todos los puntos de restauración anteriores al último punto de restauración serán eliminados. Si el último punto de restauración no es un punto en el que se haya terminado de activar o instalar una infección en una máquina, esto puede ser de gran ayuda cuando se sospecha que el paquete infector ha dejado algunos troyanos residuales listos para ser liberados hacia la máquina.

Como se dijo, no es posible remover selectivamente puntos de restauración previos. Microsoft no le dejó esta alternativa al usuario. (De hecho, en Windows Vista las opciones de maniobra para el usuario son todavía mucho más limitadas, supuestamente con la promesa de que ello haría a Windows Vista más seguro que Windows XP. La emisión de los primeros parches de actualización que se dieron a Windows Vista demostraron qué tan equivocados estaban). Es por esto que esta última alternativa tal vez no sea tan atractiva para el usuario.

Hay mutaciones de Spyware Protect 2009 así como de otros virus informáticos en las cuales la funcion de “Restauracion del sistema” queda inhabilitada desde el mismo Registro para impedirle a la víctima poder regresar el estado de su computadora a una condición previa al día en el que ocurrió la infección. Si se sospecha que esto es lo que ha ocurrido, el procedimiento para descubrirlo es el siguiente:

1) Empezamos con el botón de “Inicio” (Start).

2) Nos vamos a la línea “Ejecutar...”.

3) Escribimos “regedit” (sin las comillas) para abrir el Editor del Registro.

4) Nos vamos primero a la entrada:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT
\CurrentVersion\SystemRestore

Si se encuentra entre las varias líneas que hay allí una entrada que diga “Disable SR” con un valor puesto (bajo “Datos”) a “1”, esto es una confirmación de que la infección viral metió su mano dentro del Registro inhabilitando la “Restauración del sistema”. Pero esto se puede corregir allí mismo simplemente cambiando el valor de esta entrada a “0” con lo cual se vuelve a habilitar esta herramienta de Windows XP.

5) Hay otra entrada dentro del Registro con la cual también se puede inhabilitar la restauración del sistema. Para confirmar si la inhabilitación se está dando allí, nos vamos a:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr

Allí debe de haber una línea titulada “Start”. Si la entrada tiene un valor puesto (bajo “Datos”) a “4”, esto es también una confirmación de que la infección viral metió su mano dentro del Registro inhabilitando la “Restauración del sistema”. Pero esto se puede corregir allí mismo simplemente cambiando el valor de esta entrada a “0” con lo cual se vuelve a habilitar esta herramienta de Windows XP.

Tal vez el lector quiera echarle un vistazo al lugar en donde se van guardando los puntos de restauración del sistema. Se encuentran en una carpeta oculta y protegida de Windows XP titulada “System Volume Information”:





accesible bajo el siguiente domicilio una vez que se ha activado la función para mostrar las carpetas ocultas del sistema:

C:\System Volume Information\_restore{558C94FD-3C7F-4954-A02D-
26679E6D849E}

Los archivos de cada punto de restauración son guardados bajo una carpeta identificada como RPXXX en donde xx es un número de como RP6 ó RP461 que corresponde a cada punto de restauración. Si no se encuentra nada allí (excepto la copia que corresponde a la restauración más reciente que no puede ser borrada porque Windows XP no lo permite), ello es señal de que alguien borró todos los puntos de restauración previos, y si no lo hizo el usuario seguramente lo hizo el virus infector para impedirle totalmente a la víctima el poder restaurar su máquina a una condición previa.