En otros tiempos, una pista segura para detectar una infección viral informática era una súbita lentitud en el sistema. Pero las nuevas variantes ya no dan esa pista; aunque se están ejecutando constantemente ya no lo hacen con la frecuencia excesiva que las delata, de modo que ya no se puede depender en algo como esto para poder descubrir su presencia. Los hackers que elaboran la nueva generación de virus informáticos descubrieron que esto era algo que ponía al descubierto los efectos de su obra casi de inmediato en una computadora infectada, y modificaron sus estrategias de modo acorde.
No habiendo una súbita e inesperada lentitud en la velocidad de procesamiento de la máquina, el primer síntoma de una infección viral de este tipo sigue siendo, desde luego, la incapacidad para poder ver los archivos marcados como ocultos, incluídos los archivos del sistema (uno mismo puede, recurriendo a las “Propiedades” de cualquier tipo de archivo mediante el botón derecho del mouse con el cursor apuntando dentro del ícono del archivo, clasificar al archivo como ocultable marcando el casillero “Oculto”). Bajo el ataque de la nueva generación de infectores, al igual que como ocurría en las generaciones previas, si se trata de recurrir a la pestaña “Ver” en la sub-opción “Opciones de carpeta” de la opción “Herramientas” en la línea del menú del Explorador de Windows, tras haberse enraizado una infección viral se descubrirá que la entrada “No mostrar archivos ni carpetas ocultos” está activada. Y si el casillero es desmarcado, al regresar a la ventana se encontrará que el casillero está nuevamente activado, lo cual indica la presencia de un programa viral residente dentro de la máquina ejecutándose sin parar y clasificado como oculto para que no pueda ser detectado junto con sus archivos auxiliares cuando la opción “No mostrar archivos ni carpetas ocultos” está activada.
Una vez que se ha confirmado la presencia de un virus informático instalado en la máquina, se vuelve necesario proceder de inmediato a la corrección del problema resistiendo la tentación de apagar la máquina dejando el asunto para otro día, esto en virtud de que cada vez que se apaga y se enciende la máquina el infector tiene la oportunidad de enraizarse aún más descargando armas adicionales en contra del usuario. La gran mayoría de los usuarios que han instalado programas como Microsoft Office, que han recibido en sus computadoras las más recientes actualizaciones del sistema operativo Windows, o que han instalado una nueva pieza de hardware en sus máquinas seguramente habrán tenido la ocasión de leer un mensaje después de la instalación o la descarga indicando que es necesario reiniciar la máquina para que la instalación o la descarga pueda surtir efecto:
Lo mismo ocurre con muchos de los virus informáticos de la nueva generación: para que puedan ejercer su perniciosa acción en toda su funesta capacidad también requieren que la máquina sea apagada y encendida de nuevo, lo cual les permite cambiar la configuración de la máquina dejándole al mismo sistema operativo Windows que lleve a cabo la acción de “instalación completa del virus” que puede ser la puntilla de la máquina. La instalación de la nueva configuración en el sistema ocurre justo cuando aparece el mensaje “Guardando su configuración” (Saving your settings) al estarse apagando la máquina. Cuando la máquina se reinicia automáticamente, el infector tiene a su disposición una virulencia expandida que no poseía cuando estaba operando simplemente desde la memoria RAM de la computadora con alguna sección de código ejecutándose desde alguna parte del disco duro sobre una máquina aún no configurada al gusto del virus. Después de ser reiniciada la máquina, muchos usuarios descubren que su problema no es sólo la incapacidad de poder ver los archivos ocultos, y podrán confirmar por sí mismos la ferocidad de un ataque que no habían creído posible.
El primer intento para tratar de identificar la presencia del programa o del proceso malicioso que se está ejecutando puede consistir en tratar de abrir el “Administrador de Tareas” (Task Manager) de Windows. Pero lo más probable es que no se podrá abrir el Administrador de Tareas, recibiéndose un mensaje diciendo “El Administrador de tareas ha sido deshabilitado por un Administrador”, o bien en Inglés “Task Manager has been disabled by your administrator”):
Al ser imposible abrir el Administrador de Tareas para ver qué tipo de procesos o programas se están ejecutando en la máquina, y al no ser posible tampoco ver los archivos ocultos, el siguiente paso del usuario afectado puede ser tratar de recurrir al “Editor del Registro” (Registry Editor) para inspeccionar las entradas del Registro que pudieran haber sido alteradas y corregirlas. Esto ya es un paso que requiere de cierta competencia técnica en el uso interno del software de Windows. Pero es aquí cuando se descubrirá que el acceso al Registro ha sido inhabilitado por el “Administrador” de la máquina:
Para una situación así, la única forma de tener acceso a la máquina con privilegios de Administrador es apagándola y encendiéndola de nuevo para entrar en lo que se conoce como el “Modo Seguro”, y antes de que se empiece a cargar el sistema operativo se oprime la tecla F8 para obtener la pantalla de color obscuro que nos muestra las opciones para entrar ya sea al “Modo Seguro”, al “Modo Seguro con funciones de red”, o al modo normal. Pero bajo un ataque con un infector de la nueva generación, tras oprimir la tecla F8 se descubre que la máquina es reiniciada, y si se vuelve a oprimir la tecla F8 el proceso de reinicio ocurre de nuevo, de modo tal que la única manera de entrar dentro de la máquina es en el modo normal, en el cual está infectada, sin privilegios de Administrador y sin capacidad alguna para abrir el Registro ni para poder ver archivos ocultos ni para poder abrir el Administrador de Tareas. En pocas palabras, el usuario ha perdido casi por completo el control que tenía sobre su máquina. Y si el usuario se va al ícono del “Firewall de Windows” accesible a través del Panel de Control, al abrirlo encontrará que el casillero “Activado” está desmarcado, y que en su lugar está seleccionado el casillero “Desactivado”. En una situación así, de nada sirve activar el Firewall, porque será desactivado nuevamente casi de inmediato por el virus que está en posesión de la máquina. Así, el programa viral está ejecutándose sin cesar impidiendo que el usuario pueda entrar al Modo Seguro al encender la máquina, impidiendo que pueda ver los archivos ocultos, impidiendo que pueda tener acceso al Registro y al Administrador de Tareas, y hasta impidiendo que el usuario se pueda conectar a sitios conocidos como la página principal de Microsoft, las páginas de todas las principales empresas fabricantes de programas antivirus, y de los principales lugares de donde se pueden descargar los programas antivirus. Y si se intenta correr algún programa de limpieza como CCleaner, dicho programa no podrá correr, porque el virus lo desactivará de inmediato al tratar de abrirlo. Es como si hubiese un programador experto presente dentro de la máquina anticipando casi todos y cada uno de los movimientos del usuario y del técnico encargado de darle mantenimiento a la máquina, y actuando de inmediato para proteger la integridad del virus. La “Herramienta de eliminación de software malintencionado” de Microsoft Windows (Microsoft Windows Malicious Software Removal Tool) no siempre detecta ni elimina este tipo de infeccion viral cuando se hace en su modo “Rápido” en lugar de hacerse el “Análisis completo” que se lleva varias horas, y esto suponiendo que no haya sido infectada ya (lo más probable). Y aunque se tengan descargadas las actualizaciones más recientes de Microsoft, habiendo hecho caso de las recomendaciones de tener actualizada la máquina, esas actualizaciones no sirven de nada cuando una máquina ha caído bajo este tipo de ataque. Y la función para “Restaurar el sistema” a un punto previo también es inhabilitada impidiendo que se pueda devolver el sistema a un punto previo en el que no estaba infectado. En los raros casos en los que la nueva generación de infectores permiten restaurar el sistema a una fecha previa, ello se debe a que todos los parámetros en los puntos de restauración previos han sido infectados, de modo tal que el usuario se queda en la ilusión de que ha logrado restaurar su máquina a una etapa previa libre de infectores cuando lo único que ha hecho ha sido reafirmar la infección en su lugar sin darse cuenta de ello.
Los nuevos infectores informáticos se distinguen por la gran variedad de nuevas estrategias incorporadas para la multiplicación de los mismos y su consecuente propagación hacia máquinas y dispositivos aún no infectados. Una de las formas predilectas de transmisión consiste en infectar los dispositivos portátiles tales como las memorias flash drive USB que al ser conectadas a una computadora no infectada activan la función Autoplay que hace que aparezca en la pantalla un mensaje como el siguiente que se deja ver cuando un disco compacto DVD es puesto en el lector de discos compactos de la computadora:
Muchos usuarios están en la creencia equivocada de que cuando aparece un mensaje como éste en el monitor de la computadora bastará con oprimir el botón “Cancelar” para impedir la ejecución automática de un programa ejecutable que pueda estar ya infectado dentro del medio de almacenamiento que ha sido conectado a la computadora. Pero esta es una suposición errónea, porque un dispositivo portátil infectado seguramente contendrá un archivo autorun.inf malicioso que contiene las instrucciones necesarias para poner en movimiento otro archivo infector que normalmente no será visible por tener activado el atributo de “oculto” (se puede ver, pero para ello es necesario que el usuario tenga activada la selección “Mostrar todos los archivos y carpetas ocultos” accesible bajo la pestaña “Ver” en la herramienta del Explorer de Windows “Opciones de carpeta...”). Normalmente, en el caso de Windows XP, el archivo autorun.inf es puesto automáticamente en movimiento aunque el usuario oprima el botón “Cancelar” de la función “Autoplay”, porque esta función es en cierto modo independiente de la función propia del archivo autorun.inf. La función Autorun puede (¡y debe!) ser desactivada, pero desafortunadamente Microsoft no hizo esto nada fácil para la gran mayoría de los usuarios que no están familiarizados con los interiores del sistema operativo tales como el Registro. Esto, en lo que concierne a la infección de una computadora al serle conectado un dispositivo portátil USB. La infección en sentido inverso, de una computadora infectada hacia un dispositivo portátil USB no infectado, requiere depositar por lo menos dos archivos, un archivo autorun.inf que contiene las instrucciones para que sea puesto en acción el otro archivo ejecutable malicioso. Y para impedir que el usuario desprevenido pueda tomar medidas en contra de este tipo de transmisión, ambos archivos, tanto el archivo autorun.inf malicioso como el archivo infector reciben de manos de los criminales informáticos el atributo de “archivos ocultos”. Pero en previsión de que el usuario tenga activada la opción de Windows para que le sean mostrados los archivos ocultos, los criminales informáticos recurren a otra estrategia que la misma empresa Microsoft inadvertidamente les proporcionó: la capacidad para marcar cualquier tipo de archivo como un “archivo de sistema”. De este modo, si el usuario detecta que ciertos archivos extraños están siendo depositados en el dispositivo portátil USB desde el momento en que es conectado a la computadora, marcados todos ellos (sospechosamente) con el atributo de “archivos ocultos”, entonces al tratar de borrar cualquiera de tales archivos recibirá un mensaje intimidatorio de Windows advirtiéndole que se trata de “archivo de sistema” y que borrarlo puede ocasionar daños al equipo, lo cual para este caso en particular es falso aunque ha logrado asustar a millares de usuarios que deciden no borrar los infectores reteniendo así los transmisores de la infección. Los infectores de la nueva generación recurren además a otro tipo de estrategia ingeniosa que muchas veces funciona si el usuario tiene activada la opción para “Ver” los archivos ya sea como “mosaicos”, “íconos” o “vistas en miniatura”: al depositar un archivo infector en el dispositivo portátil al momento de hacerlo le dan un ícono al archivo que sugerirá engañosamente que se trata de un archivo inocuo e inclusive familiar al usuario, para lo cual “roban” la imagen del ícono del mismo sistema operativo Windows. A modo de ejemplo, un virus puede tomar la imagen del ícono que corresponde al juego “Buscaminas” de Windows XP:
para el cual el archivo ejecutable se encuentra en el directorio:
C:\WINDOWS\system32\winmine.exe
y una vez tomada la imagen se deposita desde la computadora infectada el archivo malicioso al cual se le dá un nombre generado al azar pero reconocible por el infector, teniéndose después de este proceso infector algo como lo siguiente:
Obsérvese, por la tonalidad de los colores, que el archivo malicioso es depositado en el dispositivo portátil USB como un archivo oculto. Pero si es visto por un usuario que tenga activada la función para poder ver los archivos ocultos, entonces pese a que el título raro del archivo (uflmb) debería servir como alerta de cualquier modo al reconocer la imagen del juego buscaminas el usuario desprevenido se verá tentado a echar a andar el falso juego buscaminas haciendo doble click en el ícono, descargando la infección viral desde un dispositivo portátil USB infectado sobre su máquina no infectada en caso de que el usuario haya tenido desactivada la función Autorun. Se trata de una trampa, y muchos muerden el cebo. El ejemplo del juego buscaminas (tomado de un caso de infección la vida real) es demasiado obvio, y las imágenes de íconos que pueden ser robadas incluyen también otras menos obvias como la imagen del “Bloc de Notas” de Windows o inclusive la imagen de una carpeta completa. De este modo, el usuario no sospechará que se trata de un archivo esencialmente maligno y los pasará por alto. Una forma efectiva de poner al descubierto estas estrategias consiste en tener desmarcada (no activada) la opción “Ocultar las extensiones de archivo para tipos de archivo conocidos” accesible bajo la pestaña “Ver” en la herramienta del Explorer de Windows “Opciones de carpeta...”. De este modo, si debajo de la imagen de un ícono correspondiente a un archivo de texto aparece un nombre de archivo como el siguiente:
Instruction_Manual.exe
nos podemos dar cuenta de inmediato de que se trata de un impostor, ya que un archivo de texto siempre tiene una extensión .txt y no la extensión de un archivo ejecutable .exe. Un archivo de texto legítimo para su lectura por un humano y no para su ejecución por una computadora tendría un nombre como el siguiente:
Instruction_Manual.txt
Del mismo modo, si debajo del ícono de imagen propio de una carpeta aparece como título para dicha carpeta algo como:
MSN Gaming Zone.exe
sabremos casi de inmediato que se trata de algo nocivo porque ninguna carpeta en Windows utiliza extensión de archivo. El nombre correcto para la carpeta sería en todo caso:
MSN Gaming Zone
Para poder hacer frente a la nueva generación de infectores, se vuelve prácticamente indispensable tener activada en todo momento para todas las carpetas y archivos de Windows en una computadora la capacidad para poder ver las extensiones de los archivos. Esto presupone, desde luego, que esta capacidad no ha sido deshabilitada aún por una infección, porque de ser así tal vez sea algo tarde para hacer algo al respecto.
Los siguiente íconos de archivos fueron tomados como ejemplos reales de muestra de lo que había en un dispositivo de memoria portátil flash drive USB infectado y que fue encontrado cuando el dispositivo fue conectado a una computadora no infectada con la opción para ver archivos ocultos activada y con la opción para poder ver las extensiones de los archivos también activada:
Obsérvese cómo el color claro de los íconos nos indica que se trata de archivos que han sido clasificados por sus creadores como archivos ocultos. Es fácil concluír que en los tres casos se trata de archivos impostores propios de una infección informática. En el primer caso, tenemos lo que parece ser un archivo de texto, pero la extensión en vez de ser “.txt” es claramente “.exe”, lo cual nos revela que se trata no de un archivo de texto sino de un archivo ejecutable. El único archivo ejecutable con el ícono del Bloc de Notas es el que corresponde al mismo programa que echa a andar al Bloc de Notas, pero su título no es “npja” sino Notepad. En el segundo caso, tenemos el ícono de una carpeta. Pero la extensión “.exe” nos revela que no se trata de una carpeta sino de otro archivo ejecutable, y ninguna carpeta aunque puede contener archivos ejecutables es jamás un archivo ejecutable. Y en el tercer caso, tenemos el ícono que corresponde a un enlace link que apunta hacia un archivo ejecutable, pero esto también debe ser otro impostor porque todos los íconos de los enlaces link deben ser visibles (no pueden ser ocultos) en todo momento para que el usuario pueda echar a andar el programa que representa el enlace. Obviamente, esto no representa nada que tenga como intención el ser echado a andar por un usuario, sino algo que es puesto en acción por la misma infección; además de que un nombre extraño e inusual como “nodpau” no representa nada memorizable o representativo de la función hacia la cual apunta el enlace. A continuación tenemos los íconos originales que fueron robados por el infector que se encargó de generar los tres impostores a partir de ellos:
Obsérvese por último que dos de los nombres de los impostores, “npja” y “nodpau”, son nombres que fueron generados por el infector mediante una combinación completamente aleatoria de letras tomadas al azar del alfabeto. Esto garantiza que si un usuario sospechando que ha sido infectado busca información en uno de los motores de búsqueda como Google de las palabras “npja” y “nodpau” en su relación con algún virus ya identificado, no encontrará absolutamente nada, y se quedará con la falsa creencia de que se trata de cosas seguras. Sin embargo, el infector alojado en la computadora sí reconocerá en tales nombres archivos propios de su infección. En otros tiempos, bastaba con teclear un nombre de archivo como jwgkvsq.vmx en un motor de búsqueda para encontrar no sólo bastantes referencias e información técnica sobre dicho archivo identificándolo como un virus peligroso sino inclusive varios métodos para limpiar la computadora de dicho intruso eliminando al infector. Pero con un disfraz que puede tomar miles de nombres diferentes, se ha perdido la efectividad de identificación de un infector mediante su nombre de archivo. Esta capacidad de la nueva generación de virus informáticos para irse “moldeando” a cada computadora que va siendo infectada es conocida como polimorfismo, en alusión a las muchas formas que puede tomar el nombre de archivo, todas ellas irreconocibles.
Además de lo anterior, los nuevos infectores informáticos están echando mano de muchos otros recursos que Microsoft inadvertidamente les proporcionó, como la capacidad de poder poner en el Escritorio (Desktop, la pantalla principal de Windows) algún ícono parasitario de acceso-directo como el invasor titulado “Shredder” que no puede ser removido del Escritorio ni siquiera entrando a la computadora en “Modo seguro” con privilegios de Administrador. Si el usuario intenta ver en las “Propiedades” del ícono el lugar hacia donde el ícono está apuntando con la intención de borrar el programa ejecutable hacia el que apunta, descubrirá que la opción de “Propiedades” está bloqueada. Y de nueva cuenta, si se pueden hacer este tipo de cosas en el sistema operativo Windows, es porque la misma empresa Microsoft lo permitió, así construyeron su producto principal. Generalmente, este parásito Shredder así como el programa con el cual llega asociado (generalmente un programa titulado “PCConfidential”) vienen como complemento indeseable de algún otro programa que actúa como cebo ofrecido gratuitamente por Internet. Esto significa que los creadores de virus informáticos se han dado cuenta ya de que tienen en sus manos algo que no sabían que tenían, la capacidad para poner en el Escritorio íconos irremovibles por el usuario sin instrucciones de ayuda que sean proporcionadas por Windows en su charola de “Ayuda” (Help) para tales casos. Sobre PCConfidential, este producto maligno utiliza las tácticas típicas de presentarse como un paquete de (falsas) herramientas de seguridad con el fin de intimidar y asustar a los usuarios para que compren una copia del programa. Irónicamente PCConfidential no sirve ni como antivirus ni antiespías pero de todos modos insiste en el pago de servicios inexistentes de seguridad, generando molestas advertencias (falsas) de supuestas infecciones. Una vez que PCConfidential se instala en una máquina, puede haber otros programas malignos escondiéndose en virtud de que PCConfidential generalmente se instala mediante troyanos y nunca remueve el material malicioso que ya estaba instalado previamente en la máquina incluyendo desde luego el suyo propio. En el proceso de instalación de PCConfidential, se ponen en el Escritorio los enlaces que envían a la víctima a los sitios Internet de PCConfidential y Winferno, además de instalarse también en el Escritorio el ícono parasitario irremovible de Shredder, de forma tal que una víctima tendrá algo como lo siguiente en la pantalla de su monitor:
Al instalarse PCConfidential por vez primera en una máquina, la primera prioridad para removerlo es ir a la opción “Agregar o quitar programas” del Panel de Control de Windows. En algunas máquinas, esto puede ser suficiente para remover el ícono parasitario Shredder, pero en otras el proceso de remoción de PCConfidential puede servir para instalar el ícono parasitario, con el posible agravante de que cada vez que se cierre una página de Internet aparecerá una ventana que tendrá el título “Pc confidential browser helper”, la cual sólo dá la opción de aceptar y de esta forma se cierra la página (metiendo más basura aún en la computadora al “aceptar”). Todo depende del grado de avance de la infección. La remoción manual de PCConfidential requiere:
(1) Bloquear (usando las opciones disponibles del navegador) el sitio Web del intruso, que es pc-confidential.com.
(2) Tras lo anterior, hay que detener mediante el Administrador de Tareas de Windows el principal proceso que es pcconfidential.exe.
(4) Hay que buscar la carpeta en la cual esté pcconfidential.exe borrando dicha carpeta por completo, la cual puede estar en algú lugar como:
C:\WINDOWS\Archivos de programa\Winferno\pcConfidential.exe
(3) Yendo al Editor del Registro, hay que buscar y eliminar la siguiente entrada del Registro (si la hay):
22FC6CE8-7D47-479F-B74A-BFBB04ADB9AF
(4) Remover del Registro todas (absolutamente todas sin exceptuar una sola) las entradas que hagan referencia a PCConfidential, las cuales posiblemente estarán en lugares tales como:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\explorer\Desktop\NameSpace\
Otra forma efectiva de remover el indesable programa PCConfidential u otros como éste es “seguirle el juego” de la siguiente manera: Nos vamos a su sitio Internet que es pc-confidential.com. Hecho esto, se descarga el programa y se instala en la máquina (sin miedo). Y una vez que la instalación acaba de ser concluída, se desinstala de inmediato el programa no con la vía usual de Windows a través del Panel de Control (que puede ser bloqueada o engañada por el invasor) sino con un programa no identificable por el invasor como Revo Uninstaller (el cual es gratuito) que se puede obtener del siguiente domicilio:
http://www.infospyware.com/herramientas/revo-uninstaller/
De este modo, con la desinstalación forzada de la máquin por rutas alternas no anticipables por los creadores de los nuevos virus informáticos, un invasor en ocasiones puede ser purgado de la máquina en su totalidad perdiendo su capacidad para reinstalarse, lo cual depende desde luego de que los vándalos informáticos que siempre están tratando de perfeccionar su obra no desarrollen nuevas estrategias para neutralizar las medidas tomadas en contra de ellos. Es el equivalente a un juego de ajedrez llevado a cabo en la computadora del usuario en donde el botín consiste en la posesión de la misma máquina.
Un primo cercano del maligno par PCConfidential-Shredder es Spy Shredder que debe ser sumado al listado de falsos eliminadores de Spyware (programas espía). Spy Shredder generalmente entra en una computadora mediante brechas en su seguridad instalándose sin autorización del usuario (este es un comportamiento que delata de inmediato a los invasores informáticos, la instalación sin pedir permiso ni autorización de ningún tipo). Luego de instalarse, Spy Shredder puede bloquear otros programas antiVirus y comenzará a mostrar mensajes del sistema relacionados con su seguridad. Estos mensajes son falsos y se hacen para asustar a los usuarios y forzarlos a comprar la versión completa de Spy Shredder. Además, Spy Shredder puede ser muy difícil de eliminar manualmente o utilizando la opción de “Agregar o quitar programas”, ya que tratará de volver a regenerarse a sí mismo. Esta capacidad de auto-regeneración es otra característica de los nuevos infectores.
Una forma sencilla con la cual la nueva generación de hackers ha logrado aumentar la potencia de sus ataques consiste en “tomar prestado” el trabajo de otros hackers incorporando a su obra lo que ellos ya hicieron, construyendo lo que podría clasificarse como una “bomba”. De este modo, no es necesario redactar desde el principio el código que logra deshabilitar al Administrador de Tareas, basta con incorporar el código de cualquier otros virus o troyano que ya hace esto para obtener gratuitamente esta capacidad. Lo mismo se puede hacer para deshabilitar al Editor de Registro o para impedirle al usuario que pueda entrar al “Modo seguro” al iniciar la máquina negándole sus privilegios de Administrador. Esta alternativa tiene su límite, ya que no es posible estarle agregando porciones de código ejecutable (o archivos anexos) a un virus sin que el tamaño del infector vaya creciendo a tal grado que no le será posible descargarse rápidamente sobre una máquina, y debemos recordar que cuando un virus informático se está descargando sobre una máquina su prioridad es llevar a cabo la descarga en el menor tiempo posible para impedirle al usuario que interrumpa el proceso de infección desconectando el cable telefónico a Internet (o la conexión inalámbrica) o apagando la máquina. De cualquier manera, esta alternativa es tan atractiva para los hackers que no es inusual que cuando se lleva a cabo un contagio informático de la nueva ola los programas antivirus en vez de detectar un solo infector detectan a varios, precisamente los que fueron agregados para darle nuevas capacidades y atribuciones al infector aumentándole su ferocidad. Por otro lado, en otros tiempos en los que no había Internet de alta velocidad, con módems conectados mediante un alambre a la línea telefónica proporcionando una velocidad mediocre de unos 4 a 8 Kb/seg, cuando el usuario se percataba de que algo se estaba descargando hacia su máquina congelando inclusive la acción del mouse al llevarse a cabo la descarga del archivo, el usuario tenía un tiempo suficiente de reacción para desconectar el módemo de la línea telefónica o apagar la computadora, mutilando la descarga del infector. Pero en estos tiempos de Internet de alta velocidad (DSL/Ethernet), cuando el usuario se percata de que una descarga indeseable está en proceso, cuando intenta detener la descarga lo más probable es que no tendrá tiempo suficiente para ello porque el gusano o el troyano del infector (el “paquete inicial de avanzada”, por llamarlo de alguna manera) habrá tenido tiempo de introducirse e instalarse en la máquina, para poder invocar posteriormente a través del Internet el resto de la “paquetería”.
El ataque extremadamente vicioso que la nueva generación de virus informáticos es capaz de inflingir en una máquina que tiene instalado el sistema operativo Windows es posible en buena medida por culpa de las enormes vulnerabilidades que los creadores de Windows le permitieron al sistema, puntos débiles que jamás deberían de haber sido tolerados en ningún momento. De haber sido diseñado Windows como un sistema operativo seguro y confiable a prueba de intrusos informáticos, Microsoft jamás se habría tenido que haber visto en la necesidad de estar distribuyendo por Internet parches para ir tapando los enormes agujeros del sistema (Microsoft prefiere llamarlos “Actualizaciones de seguridad” o “Security updates”):
que en ocasiones son tantas que frecuentemente son enviadas juntas a las máquinas requiriendo para su descarga una conexión a Internet de alta velocidad:
De cualquier modo, aún suponiendo que estos parches sean obtenidos a través de una conexión telefónica a Internet de alta velocidad del tipo DSL (una conexión telefónica tradicional como la que se usaba en los años noventas con módems de 56 Kb de velocidad máxima teórica posible podría tardar semanas en descargar uno sólo de estos pesados paquetes de actualizaciones), ello presupone que el infector permitirá que se lleve a cabo la descarga de estas actualizaciones de Microsoft, y los nuevos infectores lo primero que hacen es desactivar la capacidad de la máquina para poder llevar a cabo estas actualizaciones de forma automática, e inclusive hasta desactivan el notificador del “Centro de Seguridad” de Windows instalado en la máquina (accesible a través del Panel de control) que en condiciones normales (libres de infección) nos dá una notificación como la siguiente cada vez que se enciende la máquina:
Desactivada por los infectores esta notificación de alerta de Windows, el usuario no puede ya ser recordado de que su máquina está en algún tipo de riesgo (el proceso de Windows encargado de dar estas notificaciones es wscntfy.exe y puede ser reactivado manualmente por el usuario, aunque si hace tal cosa el infector se encargará de desactivarlo nuevamente cuantas veces le sea necesario para impedirle al usuario darse cuenta de lo que está ocurriendo).
Tras la puesta en venta del sistema operativo Windows XP como reemplazo al sistema operativo Windows Millenium, las actualizaciones de seguridad requeridas llegaron a ser tantas que fue necesario vender el sistema operativo en una versión nueva, el Windows XP Service Pack 2, y más tardó éste en salir a la luz que en quedar expuestos nuevos agujeros en el sistema operativo explotados por los infectores que estaban haciendo su aparición, orillando a la distribución de nuevos parches que se juntaron para dar pie a que se tuviera que vender el sistema operativo en otra versión nueva, el Windows XP Service Pack 3, y tras esto nuevamente fue necesario ir liberando nuevos parches.
La aparición del sistema operativo Windows Vista supuestamente debería de haber eliminado las deficiencias de seguridad inherentes al sistema operativo Windows XP, pero eventualmente terminó sucumbiendo y fue necesario ir liberando por enésima ocasión nuevos parches para irle tapando sus agujeros. Y con Windows 7 la historia se está volviendo a repetir. En principio, un sistema operativo invulnerable no debería requerir instalación de programas antivirales ni la actualización constante de los mismos. Pero en cuanto Windows 7 salió a la venta los programas antivirales de las principales empresas para este sistema operativo no tardaron en hacer su aparición. Si hemos de medir el incremento en la seguridad de los sistemas operativos de Microsoft en base al tamaño de los programas antivirales requeridos para protegerlos, no sólo no ha habido un aumento en la seguridad sino que la cosa ha ido empeorando progresivamente, ya que los programas antivirales para Windows Vista resultaron ser más voluminosos y más complejos que los programas antivirales requeridos para Windows XP, del mismo modo que los programas antivirales requeridos para Windows 7 han resultado ser más voluminosos y más complejos que los programas antivirales requeridos para Windows XP; y no se vislumbra posibilidad alguna de que en un futuro cercano las empresas fabricantes de programas antivirales tengan que cerrar sus puertas a causa de que Microsoft produzca un sistema operativo tan seguro que los programas antivirales ya no sean necesitados.
Aunque muchos usuarios están en la creencia de que las actualizaciones automáticas de Windows son para mejorar la eficiencia de la máquina con mejores procesos y sub-procesos, la dura realidad es que en su gran mayoría estas actualizaciones siguen siendo parches sin los cuales el sistema operativo Windows podría ser puesto de rodillas por los nuevos infectores. A Microsoft nunca le ha agradado la idea de proporcionar algo de modo gratuito (las “guerras de los navegadores” o browser wars entre Microsoft y Netscape empezaron por el pánico que entró a Microsoft ante la posibilidad de que el mismo Internet a través de los navegadores se pudiera constituír en un sistema operativo universal de red que pudiera ser una alternativa de reemplazo del sistema operativo Windows en las máquinas, y esta es la razón por la cual Microsoft empezó a distribuír de manera gratuita su navegador Internet Explorer), pero sin la cauda de parches de seguridad de Windows que se ha visto obligada a proporcionar a sus usuarios su sistema operativo “estrella” a estas alturas habría sido reemplazado por otras alternativas como Linux.
El diseño de un sistema operativo absolutamente seguro a prueba de hackers no es cosa fácil especialmente cuando se está haciendo todo lo posible porque dicho sistema operativo sea lo más flexible posible ante la gran variedad de tipos de hardware (impresoras, monitores, módems, procesadores, lectores CD/DVD, memorias portátiles, etc.) con los que puede ser fabricada o mejorada una máquina, y porque todos los programas ejecutables que podían ser corridos en versiones anteriores del sistema operativo puedan ser corridos también sin problema alguno en las versiones más actuales del sistema operativo (a fin de cuentas, la gente no compra computadoras para correr sistemas operativos, las compra para poder ejecutar programas como Word o el navegador Firefox de Mozilla), pero hay cosas que un sistema operativo sensato bien diseñado nunca debería de haber permitido, entre las cuales podemos mencionar las siguientes:
1) En el caso de herramientas tan importantes como el Editor del Registro y el Administrador de Tareas, jamás se debería de haber dado opción alguna para permitir que dichas herramientas pudieran ser desactivadas, y antes bien dichas herramientas deberían de haber sido parte integral e imborrable del sistema operativo. Se puede comprender que en una computadora conectada a una red habrá cosas que el Administrador querrá permitirle a los usuarios que hagan y habrá otras cosas que el Administrador no querrá permitirle a los usuarios que hagan, y una de las cosas que no querrá permitirles que hagan (por ejemplo, tratándose de una computadora de uso público en alguna biblioteca) será meterle mano al Registro de la máquina con la capacidad de modificarlo. ¿Pero cómo se justifica el incluír la posible deshabilitación total del Registro a un usuario que es propietario de una computadora casera siendo él la única persona (junto con sus familiares) que usará dicha computadora? Microsoft podría muy bien haber puesto a la venta una versión de Windows verdaderamente casera (una verdadera Home Edition) no permitiendo ni la deshabilitación del Registro ni la deshabilitación del Administrador de Tareas sin haberse recibido previamente el consentimiento del usuario por la vía del teclado o por la vía del mouse a través de algún mensaje de advertencia y de confirmación (sin darle oportunidad a un infector invasor ejecutándose automáticamente de estar deshabilitando tan importantes herramientas); en pocas palabras, una computadora sin Administrador, una versión de Windows para ser utilizada en una sola máquina prescindiendo por completo de la burocracia inútil del Administrador. Y otra versión de Windows para ser utilizada exclusivamente en una red de computadoras en donde sí se justifica el predominio que debe tener el Administrador sobre todas las computadoras conectadas a la red.
2) Nunca se debería de haber dado en el sistema operativo Windows la capacidad para activar la opción “No mostrar archivos ni carpetas ocultos” en cualquier parte de la máquina sin que el usuario fuese notificado previamente de ello, sobre todo tratándose de un programa recibido a través de Internet llevando a cabo dicho cambio rápidamente de modo automático a espaldas del usuario. En una computadora casera, el dueño de la computadora tiene todo el derecho del mundo de poder ver e inspeccionar a su antojo todo lo que hay en el disco duro de su computadora sin que haya impedimento alguno para ello. Microsoft no sólo construyó en Windows tal capacidad de impedimento, sino que hizo posible que por la simple vía de una conexión a Internet un intruso operando desde otra computadora inclusive desde otra parte del mundo pudiera manipular esta opción a su antojo para permitirle ocultar los resultados de su obra maliciosa en la máquina del usuario.
3) En otros tiempos, si el disco duro de una máquina caía víctima de un ataque informático, siempre era posible utilizar lo que en aquellos tiempos se conocía como un diskette de emergencia, el cual se ponía en otra bahía diseñada específicamente para este tipo de medios, y el encendido de la máquina se podía llevar a cabo no desde el disco duro sino desde el diskette que proporcionaba varias herramientas útiles de diagnóstico o restauración del sistema, entre ellas la capacidad para poder inspeccionar desde una ventana de comandos (texto en blanco y negro) los contenidos del disco duro e inclusive eliminar desde dicha ventana de comandos material no deseado. Pero en las máquinas de modelo reciente el lector de diskettes floppy ya no existe, todo depende ahora del lector de CD y el disco duro, y Microsoft no incluye como parte de su sistema operativo un disco CD de emergencia que sea totalmente independiente de lo que pueda haber en el disco duro; cualquier intento de rescate tiene que depender del mismo disco CD de instalación en el que viene el sistema operativo Windows, lo cual tiene la desventaja de que al echarse a andar el disco CD de instalación lo primero que hace es ver si había algo pendiente en el disco duro, tras lo cual puede hacer algo que uno no quiere que haga (como terminar una tarea que a causa de un infector no puede ser terminada) poniendo de rodillas e inutilizando por completo inclusive el mismo disco de instalación de Windows. Para hacer frente a emergencias inesperadas y desagradables en las cuales tras el encendido de la computadora ésta quede atorada en un ciclo vicioso interminable y repetitivo o en un callejón sin salida, se puede recurrir a alternativas tales como Live CD:
http://es.wikipedia.org/wiki/Live_CD
En realidad, Microsoft estaba prácticamente obligada a incluír dos CDs como parte de su sistema operativo Windows, el CD de instalación de Windows, y un CD de emergencia tipo Live CD que pudiese arrancar por sí solo como un sistema operativo primitivo sin saltar automáticamente hacia el disco duro en busca o a causa de “procesos pendientes”. Y como mínimo, el CD de emergencia de Windows debería de haber incluído un Editor del Registro capaz de trabajar desde el CD en forma independiente del Editor de Registro que está instalado en el disco duro como parte del sistema operativo ordinario, lo cual lo haría inmune a ser inhabilitado por un infector en el disco duro, así como la capacidad para poder cambiar la configuración de arranque de la máquina (el equivalente del programa msconfig.exe de Windows). Esto es algo que Microsoft nunca ha hecho y que sigue sin hacer hasta el día de hoy, porque el orgullo de la empresa no le permite reconocer que las cosas han llegado ya a un punto de crisis por causa de esta imperdonable omisión.
4) En las computadoras de uso casero, jamás se debería de haber dejado la posibilidad de que fuese imposible por causa de una infección viral informática entrar a la computadora en el Modo seguro durante el proceso de encendido de Windows (lo cual se lleva a cabo en una computadora no-infectada con la opresión de la tecla F8). Con la mayor facilidad del mundo, los nuevos infectores deshabilitan el ingreso al Modo seguro reiniciando la máquina cada vez que el usuario oprime la tecla F8, dejando como única opción el ingreso al modo normal infectado que, en agravio extremo para el usuario, por no tener los privilegios del Administrador, le impide totalmente al usuario el acceso al Editor del Registro para poder restaurar la operación.
5) Con la mayor facilidad del mundo, las memorias portátiles flash drive USB que están infectadas pueden ejecutar el programa malicioso con el que estén infectadas con el solo hecho de conectar el dispositivo a cualquiera de los puertos USB de la computadora, traspasando la infección a la misma máquina que a su vez se convertirá en diseminadora de nuevas infecciones. Una manera de evitar tal cosa es encender la máquina en el Modo seguro, pero esto es algo que muchos usuarios de Windows desconocen porque Microsoft nunca se los dijo en los manuales de uso que vienen con las máquinas nuevas. Bajo ningún motivo y bajo ninguna circunstancia se debió de haber permitido este tipo de ejecución automática al conectarse un dispositivo USB a la computadora, y siempre se le debió de haber dado la opción al usuario de poder impedir y detener la puesta en marcha de cualquier programa ejecutable al conectar un dispositivo que pudiera contener código malicioso, informándole al usuario el nombre del archivo intentando llevar a cabo esto y pidiéndole a través de una ventana de diálogo su consentimiento para la ejecución del programa intentando ejecutarse. La función del sistema operativo Windows que echa a andar automáticamente un programa viral instalado en el dispositivo USB es la función Autorun, y aunque el usuario seleccione la no ejecución de programa alguno al aparecer la ventana de diálogo que le pide al usuario escoger el tipo de programa que desea utilizar, de cualquier modo al abrir la ventana del Explorer para ver lo que contiene el dispositivo USB el programa viral malicioso será puesto inmediatamente en marcha sin pedirle al dueño de la computadora su consentimiento. Esta función puede ser desactivada sin mucha experiencia técnica, pero ello requiere que el usuario tenga instalada en su computadora la versión profesional de Windows XP, lo cual no es el caso en la gran mayoría de computadoras de uso casero. Autorun puede ser desactivada de cualquier manera, pero ello require que el usuario le meta la mano al Registro de su máquina, lo cual no es el caso en la gran mayoría de los usuarios. Por este solo hecho, Microsoft expuso innecesariamente a millones de usarios de Windows alrededor del mundo a las infecciones virales que terminaron entrando en sus computadoras por la vía de los dispositivos USB.
6) Por si lo anterior no fuese poco, jamás se les debió de haber proporcionado a los hackers los medios para permitirle al sistema operativo Windows ocultar los archivos en el dispositivo USB marcados como archivos ocultos. Bajo ninguna circunstancia debería de haber sido posible el impedirle al usuario el poder visualizar los archivos ocultos marcados como archivos ocultos en un dispositivo portátil USB.
7) Con mucha frecuencia cada vez que puede, la empresa Microsoft advierte a los usuarios de su sistema operativo Windows sobre los riesgos de andarle metiendo la mano al Registro, señalando la facilidad con la cual todo el sistema operativo de una máquina puede ser desestabilizado con la simple borradura o la alteración de tan solo una de las entradas del Registro cuando no se sabe perfectamente bien lo que se está haciendo, lo cual en cierta forma es cierto. El manejo del Registro es una cosa que requiere de cierta competencia técnica que la gran mayoría (el 99.99% de los usuarios del sistema operativo Windows) no posee. Inclusive muchos técnicos en informática y hasta ingenieros de sistemas ignoran lo que hacen todas las entradas del Registro, el cual en contra de lo que comúnmente se cree no está centralizado en un solo programa ejecutable o en una sola base de datos sino que es en realidad una colección de varias piezas distribuídas a lo largo y ancho del sistema operativo. Con el Registro, formalizado con la introducción del sistema operativo Windows 98, Microsoft le hizo al usuario ordinario, al dueño de la máquina, lo más difícil posible el poder llevar a cabo las modificaciones más elementales a las opciones proporcionadas por el sistema operativo. La documentación técnica proporcionada por Microsoft para sus usuarios en relación al Registro es prácticamente nula e inexistente. En los discos de distribución de los sistemas operativos Windows no se incluye manual alguno para indicarle al usuario lo que es el Registro o cómo se utiliza el Editor del Registro, e inclusive el Editor del Registro mismo no es accesible a través de la ruta usual (Inicio → Todos los programas → Accesorios → Herramientas del sistema) y se tiene que obtener, por otros medios a través de Internet, la información de que para echar a andar el Editor del Registro es necesario utilizar el comando regedit en la opción que corresponde a “Ejecutar...” (desde el botón de Inicio). Pero al mismo tiempo que Microsoft hizo todo lo que concierne al Registro lo más complicado posible para el usuario, no lo hizo tan complicado como para que no lo pudiera entender un hacker a grado tal de poder alterarlo a control remoto a su antojo tomando también control sobre la computadora a control remoto con la simple conexión a Internet habilitada. Puesto de otra manera, la herramienta principal que debería de haber sido lo menos complicada y lo más accesible posible para el usuario terminó siendo todo lo contrario, mientras que a los elaboradores de malware la misma empresa Microsoft les proporcionó a través de las mil vulnerabilidades en su sistema operativo Windows todo lo que estos individuos necesitan para tomar control desde lejos de la máquina del usuario del sistema operativo Windows. Nunca se le debería de haber dado a nadie la capacidad de poder entrar por la vía de la conexión telefónica a cualquier máquina situada en otra parte del mundo permitiéndole alterar a su antojo el sistema operativo de la máquina sin siquiera darle una confirmación al usuario o pedirle mediante cajas de diálogo su autorización para el efecto de dichos cambios y alteraciones.
8) Microsoft nunca debió haber dejado la opción de volver irremovible por el usuario a un ícono parasitario instalado en el Escritorio (la pantalla principal de Windows), un ícono que a su vez apunta hacia un programa ejecutable cuya localización no se le revela jamás al usuario de la manera normal a través de las Propiedades del enlace (link) de lo que viene siendo el ícono parasitario, y mucho menos se debió haber permitido que esta capacidad de instalación fuera fácilmente accesible desde fuera de la máquina con los íconos irremovibles así como los programas que los sustentan enviados desde otra parte del mundo por Internet sin la obtención del consentimiento previo del usuario.
Si Microsoft se hubiera propuesto desde un principio construír el sistema operativo de computadoras más vulnerable y menos seguro en la historia de la humanidad, posiblemente no habría hecho mejor (o peor) trabajo que lo que hizo con su sistema operativo Windows.
Existe aún otro motivo de preocupación para Microsoft. Cada variante nueva que aparece de un virus, un gusano, un troyano, o cualquier otra pieza de código tipo malware o spyware que constituya una amenaza para la privacidad y la seguridad de una computadora que esté corriendo a Windows tiene que ser incorporada a la base de datos de cualquier programa antivirus que esté instalado en la computadora, y cada archivo en la máquina tiene que ser cotejado contra todos los componentes de esta creciente lista de infectores. En un principio, cuando la revolución de las computadoras personales apenas empezaba y había únicamente 100 virus identificados, cada archivo tenía que ser inspeccionado y comparado contra la firma (signature) de cada uno de esos virus, de modo tal que una máquina con mil archivos podía requerir hasta 100 mil comparaciones y evaluaciones llevadas a cabo individualmente. Al crecer la lista de virus informáticos a 1,000 y al crecer el número de archivos de los que consta el sistema operativo, la tardanza en la ejecución del programa antivirus aumenta proporcionalmente. Esto se volvía hasta cierto punto tolerable porque la velocidad de las máquinas y la capacidad de la memoria RAM y del disco duro también aumentaba la capacidad de procesamiento del programa antivirus, de modo tal que con 50 mil virus identificados aún era posible tolerar la tardanza introducida por la ejecución del programa antivirus (definiremos aquí esa tardanza como el tiempo que tarda en ejecutarse algún programa que tenga un paquete antivirus instalado entre el tiempo que tarda en ejecutarse el mismo programa cuando no hay ningún antivirus instalado en la máquina; la rapidez de cualquier máquina es perceptiblemente mayor cuando no tiene programa antivirus alguno instalado en ella). Las empresas antivirus han estado haciendo un buen negocio al estar cobrando por sus “actualizaciones” que consisten en ir incorporando a sus bases de datos las nuevas variantes de infectores informáticos conforme van apareciendo. Pero al mismo tiempo que va creciendo la variedad de nuevos infectores no se puede tener la certeza de que la velocidad y la capacidad de la tecnología podrán ir creciendo de forma ilimitada. Se está llegando al punto en el que la rapidez en el aumento en la capacidad de las memorias RAM así como el aumento en la velocidad de los procesadores está agotándose, ello a la vez que la aparición de nuevos infectores no ha detenido su marcha. Se está acercando el punto en el que, del tiempo de procesamiento de la máquina dedicado en un 90 por ciento a la ejecución del programa que nos interesa y en un 10 por ciento a la ejecución del programa antivirus, eventualmente pasaremos a un consumo de tiempo dedicado en un 90 por ciento del tiempo a la ejecución del programa antivirus dejándonos tan sólo un 10 por ciento del tiempo para la ejecución del programa que nos interesa, lo cual se va reflejando en una lentitud creciente en los tiempos de respuesta de la máquina. Puesto de otra manera, la lista de nuevos infectores no puede ir creciendo indefinidamente sin el riesgo de poner eventualmente de rodillas al sistema operativo Windows. Es así como la nueva generación de infectores que están siendo desarrollados constituye una amenaza para Microsoft no sólo por su virulencia sino por la cantidad de variantes que está siendo creada de los mismos. Nosotros compramos máquinas para correr programas y utilerías, no para correr programas antivirus (ni para aprender a manejar en detalle los interiores de los sistemas operativos). Si tenemos que estar pagando constantemente actualizaciones de programas antivirus porque la lista de nuevos infectores sigue creciendo en forma desorbitada, esa alternativa de ir agregando parche tras parche y de tener que seguir comprando programas antivirus cada vez más voluminosos no tardará en quedar agotada tarde o temprano. ¿Y entonces qué?
No todos los sistemas operativos para computadoras de uso casero adolecen las enormes vulnerabilidades de Windows que explotan sus deficiencias de diseño para invadir desde lejos una máquina y tomar control sobre ella. Las otras dos alternativas, MacOS (Macintosh Operating System, de la empresa Apple) y el sistema operativo de distribución gratuita Linux, son prácticamente invulnerables a los invasores informáticos que están recorriendo la red mundial Internet. Y la razón principal por la cual MacOS y Linux son invulnerables a prácticamente todos los invasores informáticos que están victimizando al sistema operativo Windows de Microsoft es porque fueron desarrollados precisamente para atacar al sistema operativo de mayor uso en el mundo, lo cual refleja la principal desventaja de que cierto sistema operativo mantenga un monopolio sobre las computadoras caseras. Un infector que ha sido diseñado para deshabilitar la capacidad para poder ver los archivos ocultos con el simple expediente de cambiar unas cuantas líneas en el Registro de Windows no puede hacer lo mismo ni en el sistema MacOS ni en Linux porque allí no hay Registro alguno para manipular. Esta es la razón por la cual una cantidad creciente de usuarios está optando por tener instalada en sus máquinas la opción multi-boot en la cual tienen no uno sino dos sistemas operativos diferentes instalados en la máquina, por ejemplo Windows XP y Linux. Al encender la máquina, se le presentan las dos opciones al usuario, y puede escoger empezar a trabajar en Windows XP o en Linux. Y es la razón por la cual en 2010 la famosa empresa mundial Google decidió prescindir por completo del sistema operativo Windows en las máquinas utilizadas por sus nuevos empleados, dándoles como únicas opciones escoger entre una máquina operando con MacOS o una máquina operando con Linux.
Es desde luego posible diseñar un infector informático que pueda atacar dos o más sistemas operativos diferentes, pero esto ya no es un asunto tan fácil, porque ello necesariamente aumenta la cantidad de código ejecutable que hay que meter en el infector aumentando el tamaño del archivo y volviendo más tardada su transmisión a través de la línea telefónica, además de que hay que proporcionarle al infector una manera de poder distinguir el sistema operativo de la máquina en la cual se ha introducido, ello sin tomar en cuenta que se requerirá del vándalo informático de un conocimiento a fondo sobre cómo trabajan los otros sistemas operativos alternos a Windows. Y en el caso del sistema operativo Linux, el problema para los vándalos redactores de código malicioso aumenta exponencialmente porque no existe una sola variedad de Linux, existen varias tales como Linux Mandrake, Linux Ubuntu, y muchas otras. Ningún hacker tiene tanto tiempo ni tantos recursos como para escribir un infector así sea de lo más elemental con la capacidad de poder atacar a todos los sistemas operativos que existen en la actualidad (aunque obsoletas, todavía quedan algunas máquinas trabajando con el ineficiente sistema operativo OS/2 con el cual la empresa IBM intentó hacerle competencia al sistema operativo Windows). Si un vándalo informático tuviera la capacidad para escribir un infector así fuese de lo más elemental con la capacidad de poder atacar a todos los sistemas operativos que existen en la actualidad, lo más seguro es que podría ganar mucho más dinero legítimamente vendiendo sus servicios como experto consumado en informática.
Dependiendo del tipo de infector, si la infección no ha tenido oportunidad de enraizarse, es posible que el usuario pueda habilitar nuevamente al Administrador de Tareas suponiendo que aún tenga disponible al Editor del Registro. Para habilitarlo nuevamente, hay que ir a la siguiente entrada en el Registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows
\Current Version\Policies\System
Una vez localizada esta entrada, hay que buscar una palabra binaria que esté puesta además de la palabra “(Default)”, una palabra binaria titulada “DisableTaskMgr”, y si se le encuentra entonces hay que poner su valor a cero (el valor de 1 es lo que inhabilita al Administrador de Tareas), o mejor aún, eliminar dicha entrada escogiendo la opción del click derecho “Delete” dada por el Editor de Registro sobre dicha entrada.
Así como podemos habilitar al Administrador de Tareas, lo podemos inhabilitar nuevamente creando la hilera “DisableTaskMgr” en la entrada del Registro arriba señalada, y dándole el valor de 1. Si el usuario hace esto encontrará que ya no tiene acceso al Administrador de Tareas de su sistema operativo Windows XP. Este procedimiento, llevado a cabo manualmente, también se puede llevar a cabo automáticamente con una pequeña porción de código elaborado como archivo de texto en el lenguaje Visual Basic Script del cual podemos encontrar más información en la Wikipedia:
http://es.wikipedia.org/wiki/VBScript
El código para meterle mano al Registro mediante Visual Basic Script se puede elaborar en el Bloc de Notas de Windows, y una vez elaborado se puede guardar con la extensión “.vbs”, la cual es reconocida por el sistema operativo Windows XP. Los archivos vbs son identificados por el sistema operativo Windows con el siguiente ícono:
Basta con hacer doble click con el puntero del mouse en el ícono para poner automáticamente en movimiento todo lo que el código contenido en un archivo de este tipo pide que se haga, algo que puede ser tan sencillo como inhabilitar al Administrador de Tareas. Si lo deseamos, podemos meter en el mismo archivo el código requerido para inhabilitar la capacidad para poder ver los archivos ocultos. De hecho, podemos meter en un mismo archivo vbs todo lo que queramos para reproducir lo que hacen los infectores más comunes. Esta es precisamente la forma en la cual se empiezan a construír los virus informáticos. De cualquier manera, puesto que un archivo vbs es algo demasiado obvio y sospechoso (siendo, al fin y al cabo, un archivo ejecutable) que puede ser leído fácilmente como un archivo de texto con el Bloc de Notas, y muchos usuarios no van a caer en la trampa de hacer doble click en un archivo que les llegó por Internet quién sabe de dónde, el siguiente paso para el elaborador de código malicioso consiste en tomar el archivo vbs para convertirlo en una porción de código binario puro, ilegible hasta para el que lo elaboró, convirtiéndolo así en un archivo con una extensión como “.exe” o “.bin” que puede ser ejecutada automáticamente por la máquina aún sin intervención alguna del usuario propietario de la máquina (que es a fin de cuentas lo que está buscando el hacker). La transformación de un código informático legible escrito en un lenguaje de alto nivel a un código codificado en lenguaje de máquina (lo cual tiene generalmente la ventaja de que el tamaño del archivo es mucho menor que el del archivo original escrito en lenguaje de alto nivel) se lleva a cabo con un compilador recurriendo para ello a un “lenguaje intermedio de alto nivel” como el lenguaje C++.
¿Y quién hizo posible que fuese tan fácil meterle mano al Registro de la máquina con algo tan rudimentario como unas cuantas líneas redactadas en texto legible en el lenguaje Visual Basic Script? La misma empresa Microsoft.
Si bien podemos elaborar sin mayores problemas un programita elaborado en Visual Basic Script para restaurar la función del Administrador de Tareas de manera casi automática, una infección enraizada a través de un programa ejecutándose sin cesar desde el momento en que es encendida la máquina y el sistema operativo entra en acción nulificará la utilidad de tal recurso, ya en a los pocos instantes de haberse restaurado al Administrador de Tareas quedará inhabilitado nuevamente por el programa malicioso que está ejecutándose sin cesar, siendo entonces una carrera en la que vamos a resultar perdedores.
Aún otra forma de tratar de habilitar al Administrador de Tareas consiste en ir al botón de “Inicio” (Start), ir tras esto a "Ejecutar..." (Run) y escribir exactamente lo siguiente (todo va en una sola línea de texto) para modificar la entrada del Registro resaltada en color azul:
REG add HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
/v DisableTaskMgr /t REG_DWORD /d 0 /f
Como ya se dijo, podemos tratar de restaurar al Administrador de Tareas si el Editor del Registro no ha sido inhabilitado aún por el infector. Pero si el mismo Editor del Registro también ha sido inhabilitado, entonces el asunto se vuelve mucho más complicado. Por increíble que parezca, la capacidad para inhabilitarle al usuario de una computadora su acceso al Editor del Registro se encuentra precisamente en una línea de entrada de HKCU (HKEY CURRENT USER) del Registro. Se puede ingresar a ella con derechos de Administrador, pero para esto es necesario entrar a la computadora en “Modo seguro”, algo que no es posible cuando la acción del virus le ha permitido tomar control total sobre la máquina. La inhabilitación del Registro usando al mismo Registro para ello se encuentra bajo la línea del Registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Policies\System
con la entrada “DisableRegistryTools”. Si la infección no ha avanzado mucho, para recuperar al Editor del Registro después de haber limpiado a la máquina de la infección podemos recurrir a un programita como el siguiente escrito en el lenguaje Visual Basic Script que contenga el siguiente texto (hay que tener cuidado en las dos líneas múltiples que en realidad son escritas a lo largo de una sola línea en el Bloc de Notas, específicamente, las que proporcionan una dirección a una entrada en el Registro, las cuales se han marcado de color azul para evitar confusiones):
'Enable/Disable Registry Editing toolsEl texto se guarda con el Bloc de Notas como un archivo con cualquier nombre (por ejemplo, EditorReg) pero no como un archivo de texto (con la extensión usual “.txt”) sino con la extensión “.vbs” (por ejemplo, EditorReg.vbs), y una vez guardado se ejecuta el ícono, lo cual debe hacer que recuperemos al Editor del Registro. Si ello no ocurre, entonces podemos dar por seguro que la infección ha progresado demasiado, y el usuario debe ir pensando en formatear el disco duro y reinstalar el sistema operativo. Es importante tomar nota de que, dependiendo de la versión del sistema operativo Windows que se esté utilizando en la máquina, la habilitación del Editor del Registro puede requerir que una vez que se ha ejecutado el código vbs arriba mostrado se vuelva necesario reiniciar la máquina (en algunos casos la inhabilitación del Editor del Registro produce un efecto inmediato mientras está encendida la máquina, a la vez que la habilitación del mismo requiere que la computadora sea reiniciada).
'© Doug Knox - rev 12/06/99
'This code may be freely distributed/modified as long as it remains free of charge
'http://www.icpug.org.uk/national/features/030607fe.htm
'Edited by PatheticCockroach - http://patheticcockroach.com
Option Explicit
'Declare variables
Dim WSHShell, rr, rr2, MyBox, val, val2, ttl, toggle
Dim jobfunc, itemtype
On Error Resume Next
Set WSHShell = WScript.CreateObject("WScript.Shell")
val = "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"
val2 = "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"
itemtype = "REG_DWORD"
jobfunc = "Registry Editing Tools are now "
ttl = "Result"
'reads the registry key value.
rr = WSHShell.RegRead (val)
rr2 = WSHShell.RegRead (val2)
toggle=1
If (rr=1 or rr2=1) Then toggle=0
If toggle = 1 Then
WSHShell.RegWrite val, 1, itemtype
WSHShell.RegWrite val2, 1, itemtype
Mybox = MsgBox(jobfunc & "disabled.", 4096, ttl)
Else
WSHShell.RegDelete val
WSHShell.RegDelete val2
Mybox = MsgBox(jobfunc & "enabled.", 4096, ttl)
End If
El código vbs dado arriba para habilitar nuevamente al Editor del Registro es inocuo. El lector puede hacer la prueba creando el archivo señalado, y suponiendo que tiene habilitado a su Editor del Registro, entonces la ejecución del código no producirá efecto alguno porque el Editor del Registro ya estaba habilitado. Sin embargo, con un cambio mínimo, el código se puede convertir fácilmente en un inhabilitador del Editor del Registro. Y si al archivo, subido a Internet a uno de los sitios Web para intercambio de todo tipo de archivos, se le pone una trampa tentadora como “Salma Hayek desnuda” o como “La fecha exacta del Apocalipsis” para hacer que un usuario ingenuo muerda el anzuelo, entonces el mismo usuario inhabilitará al Editor del Registro de su propia máquina haciendo doble click en el ícono del archivo. Así es precisamente como la gran mayoría de los usuarios, ya sea por morbo o curiosidad, le dan entrada a la gran mayoría de los infectores a su máquina, ya sea visitando sitios que no deberían de andar visitando o abriendo por curiosidad anexos en sus correos electrónicos enviados por gente a la que no conocen. Y así es como se elaboran muchos de los nuevos infectores, metiéndole mano al Registro.
El uso del lenguaje Visual Basic Script no es la única manera de recuperar la función normal del Editor del Registro después de una infección informática. Recurriendo nuevamente al Bloc de Notas, metemos el siguiente texto (la doble línea marcada en azul es en realidad una sola línea):
[Version]Hecho lo anterior, guardamos el texto con un nombre como repair.inf o cualquier otro nombre siempre y cuando la extensión “.inf” siga siendo la misma. Los archivos inf son identificados por el sistema operativo Windows XP con el siguiente ícono:
Signature="$Chicago$"
Provider=Symantec
[DefaultInstall]
AddReg=UnhookRegKey
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1"""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,0x00000020,0
Después de haber guardado el archivo, hacemos doble click en el ícono con el puntero del mouse y oprimimos el botón de “Instalar” (Install), con lo cual tras la ejecución del código recuperamos la función del Editor del Registro.
Se había mencionado que una de las pistas más seguras para detectar la presencia de un intruso no deseado dentro de la computadora consiste en revisar si la capacidad para ver archivos ocultos puede ser activada por nosotros en caso de no haber sido activada previamente, y si una vez activada permanece activada cada vez que se apague y se encienda la computadora. Si el casillero “No mostrar archivos ni carpetas ocultos” accesible en la pestaña “Ver” en la sub-opción “Opciones de carpeta” de la opción “Herramientas” en la línea del menú del Explorador de Windows está activado, y si aún después de ser desmarcado por nosotros vuelve a ser marcado sin intervención alguna de parte nuestra, entonces tenemos la confirmación de un infector. Pero esto supone que la opción “Opciones de carpeta” permanece accesible. Con el fin de impedir que el usuario afectado pueda verificar esto, la nueva generación de infectores tiene ya la capacidad para bloquear por completo el acceso a “Opciones de carpeta”. Esto lo logran manipulando las siguientes dos entradas en el Registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer
Cuando la capacidad para poder ver las opciones de carpeta está totalmente bloqueada, se vuelve necesario inspeccionar estas dos líneas con el Editor del Registro. Lo más seguro es que encontraremos una palabra binaria Dword titulada “NoFolderOption”, y si se le encuentra entonces hay que poner su valor a cero (el valor de 1 es lo que inhabilita la capacidad para poder ver las opciones de carpeta), o mejor aún, eliminar dicha entrada escogiendo la opción del click derecho “Delete” dada por el Editor de Registro sobre dicha entrada.
Existen otras maneras, a través del mismo Registro, de mantener ocultos los archivos y las carpetas que el infector no desea que las víctimas puedan descubrir. Una de ellas, utilizada por el pernicioso virus infector jwgkvsq.vmx, modifica la siguiente entrada del Registro de Windows:
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Explorer\Advanced SuperHidden = 1
cambiando dicha entrada por:
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Explorer\Advanced SuperHidden = 0
con el fin de ocultar su presencia y dificultar su deteccion en la máquina. Además modifica también la siguiente entrada:
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Explorer\Advanced Hidden = 1
cambiándola por:
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Explorer\Advanced Hidden = 0
De este modo el infector jwgkvsq.vmx es capaz de ocultar los archivos y carpetas que tengan el atributo de oculto modificando varias entradas en el Registro, lo cual puede resultar desconcertante para el técnico que al descubrir y corregir la entrada del Registro que aparentemente está bloqueando la capacidad para poder ver los archivos y carpetas ocultos cree que el correctivo aplicado será suficiente, sólo para descubrir poco tiempo después que sigue en las mismas.
Además de lo que ya se ha señalado, las nuevas variantes de infectores al instalarse en una máquina tienen la capacidad para modificar un archivo del sistema operativo conocido como “pagefile.sys” (puesto usualmente en el directorio raíz del disco duro C:\) redistribuyendo la asignación de la memoria RAM de la computadora apoderándose de un segmento del RAM desde donde trabaja todo el tiempo cada vez que se enciende la computadora.
Como ya se ha mencionado, la razón por la cual este tipo de infecciones tan maliciosas es posible es porque el sistema operativo Windows es en realidad un sistema operativo muy mal diseñado, aunque Microsoft no quiera admitirlo ni reconocerlo. Jamás se le debería de haber dado ni al usuario ni a nadie la capacidad de poder inhabilitar herramientas tan importantes como el Administrador de Tareas y el Registro con el simple hecho de alterar unas cuantas entradas en el mismo Registro. Jamás se le debería de haber dado ni al usuario ni a nadie la capacidad de poder desactivar la entrada al Modo Seguro al encender la máquina. Jamás se le debería de haber dado al sistema operativo la capacidad para ocultar archivos, o inclusive para bloquearle al usuario las opciones de carpeta que le permiten confirmar tal bloqueo, al menos no sin el pleno consentimiento del dueño de la máquina, lo cual ha resultado extremadamente ventajoso para los que elaboran estas infecciones y sumamente problemático para quienes intentan removerlas. Aunque una parte minúscula de estas deficiencias fueron removidas del sistema operativo Windows XP al ser introducido Windows Vista (el sistema operativo que supuestamente sería a prueba de infecciones virales graves), también Windows Vista terminó sucumbiendo bajo estas deficiencias que han estado siendo arrastradas desde antes. Los sitios y los programas antivirales de empresas reconocidas como McAfee, Norton, MicroTrend y Kaspersky son los primeros en ser bloqueados, y de poco sirve el tener uno de estos programas instalados en la máquina con actualizaciones constantes; la prueba de ello son las noticias que vemos de vez en cuando acerca de ataques cibernéticos sufridos por dependencias del gobierno norteamericano incluído el mismo Pentágono. Si estos programas antivirales fueran realmente tan buenos, no habría infección alguna en las computadoras utilizadas en los Estados Unidos por el Departamento de Estado, el Departamento de la Defensa, el FBI, la DEA y otras dependencias importantes.
El virus-gusano previamente mencionado, jwgkvsq.vmx, mejor conocido como Conficker, es precisamente el “gran abuelo” de la nueva generación de infectores potentes que ha estado devastando a la comunidad mundial de internautas, exponiendo a la vez todas las miserias y las vulnerabilidades del sistema operativo Windows a la vista del mundo entero. La empresa Microsoft ofreció una recompensa de un cuarto de millón de dólares ($ 250,000) a cualquiera que entregara información que pudiera llevar al arresto y el encarcelamiento de los criminales que estuvieron detrás de la creación de este infector, y hasta la fecha no ha sido posible dar con los creadores de este infector pese a esta jugosa recompensa. Podemos encontrar más información sobre este infector que sirvió como escuela para la nueva generación de virus informáticos en el siguiente enlace de la Wikipedia:
http://es.wikipedia.org/wiki/Conficker
Como una medida precautoria ante una infección de la nueva generación que reúna las características que se acaban de describir, lo más recomendable es hacer un respaldo de todos los documentos, archivos fotográficos, archivos musicales y demás material que se quiera rescatar de la computadora antes de que pueda ser infectada, y en caso de un ataque de esta naturaleza hay que estar preparado para llevar a cabo un formateo completo del disco duro para instalar de nueva cuenta el sistema operativo. Si hay la sospecha de que uno o más de los archivos a ser respaldados pueda estar ya infectado, téngase en cuenta que al hacer el respaldo completo de los archivos la infección se puede pasar al medio utilizado como respaldo, trátese de un disco duro portátil o de un flash drive USB, de modo tal que al copiar dichos archivos a la máquina con el sistema operativo recién cargado la infección volverá a su punto de origen convirtiéndose en una cosa de nunca acabar. (Esta técnica de infectar un archivo precisamente en el momento en el que está siendo copiado es posiblemente el truco más viejo en el libro de los virus informáticos desde que hicieron su aparición hace dos décadas.) La única manera posible de que el trabajo realizado durante una operación de respaldo no se vaya por la borda consiste en llevar a cabo una inspección del disco duro portátil o del flash drive USB conectándolo a una máquina que tenga un buen paquete antivirus instalado y actualizado para escanear el disco duro (o el flash drive USB) por la presencia de un virus que haya sido pasado durante el proceso de respaldo. Esto supone que el programa antivirus será capaz de detectar la presencia de archivos infectores, pero desafortunadamente las nuevas variantes no son reconocidas por la mayoría de programas antivirales aunque estén actualizadas, y resulta más útil antes de hacer el respaldo examinar el disco duro portátil (o el flash drive USB) conectado a una computadora no-infectada para ver los archivos ocultos que pueda haber, y si tras el proceso del respaldo aparecen nuevos archivos ocultos entonces estos deben ser eliminados porque son nuevas rutas de infección.
La reinstalación del sistema operativo Windows en la máquina requerirá, desde luego, una copia legítima del sistema operativo Windows en el CD original (este disco CD viene ya incluído junto con las máquinas “antigüas” como las computadoras Optiplex de Dell que carecían de un “quemador” de discos CD). Cuando la computadora es nueva y recién comprada de un vendedor legítimo, si tiene un “quemador” de discos CD entonces lo más probable es que le permitirá al usuario hacer un disco CD del sistema operativo Windows utilizando la misma computadora para ello, pero por una única ocasión, de modo que es recomendable tener a la máquina conectada a una fuente ininterrumpible de poder (UPS) cuando se esté llevando a cabo la creación del disco CD del sistema operativo. La ventaja de hacerlo justo cuando la máquina está recién desempacada y conectada es que se puede tener la certeza absoluta de que por tratarse de una máquina nueva dicha máquina está libre por completo de infecciones informáticas, y por lo tanto el disco CD del sistema operativo Windows estará también libre de infecciones. Aunque la tentación de recurrir a un disco “pirata” puede ser irresistible para algunos, muchos de los nuevos infectores se están propagando precisamente a través de estos sistemas operativos “piratas”, porque si alguien puede crackear un sistema operativo legítimo de Microsoft haciendo una copia pirata, lo más probable es que tiene la suficiente competencia técnica para meterle al código todo lo que le dé la gana, apropiándose de la computadora de la manera más sencilla posible; esto es parte de lo que pudiéramos llamar los costos ocultos de recurrir a un sistema operativo pirata. Si con un archivo de tan sólo 150 Kb o 200 Kb enviado por Internet un criminal es capaz de provocar los daños mencionados arriba, con mayor razón tratándose de una sistema operativo pirata Windows tomando en cuenta el tamaño enorme incluso de los sistemas operativos Windows 95 y Windows 98.
Como ya vimos, aún teniendo un sistema operativo Windows instalado legítimamente en una máquina, las vulnerabilidades de Windows son tales que el usuario tendrá que estar preparado para estar recurriendo al disco de instalación de Windows cada vez que su computadora caiga bajo el ataque de alguno de los nuevos infectores incapaces de ser detectados por su programa antivirus, una queja que se escucha cada vez con mayor frecuencia en los foros de Internet. Si al usuario le parecen demasiado pesadas estas complicaciones, entonces tal vez deberá pensar en adquirir una computadora MacOS o en instalar en su máquina un sistema operativo Linux, echando fuera de su computadora (y de su vida) al sistema operativo Windows de Microsoft.
