Este documento es una breve explicación sobre los lugares más comunes donde se suelen alojar los virus, gusanos, troyanos, etc. y como deshacerse de ellos con facilidad. Al conocer como funciona el inicio de Windows, estaremos en condiciones de mantener el sistema en buena forma y fuera de peligro.

Introducción :

A todos los que hemos estado trabajando, usando y jugando con las distintas versiones del sistema operativo de Microsoft durante varios años, hemos ido aprendiendo a buscar las solciones a casi todos los problemas que nos surgen diariamente tratando de evitar caer en la reinstalación del sistema, el formateo de discos, la estaca en el gabinete y hasta la cruz de sal…
Lo primero que debemos asimilar es que la mayoría de los programas espías, programas basura, discadores, troyanos, virus y demas intrusos, son justamente eso: PROGRAMAS. Y para poder convertirse en dañinos, robar datos, abrir puertos o conectarnos con una página rusa de mujeres barbudas, necesitan ejecutarse.
La primera vez que se ejecuta cualquiera de estos programas, se aprovechan del desconocimiento y la falta de interés de los usuarios “normales” que sin preocuparse por la salud de sus sistemas abren cualquier adjunto que les llegue por correo electrónico sin prestar un mínimo de atención, o navegan por sitios desconocidos aceptando cualquier mensaje que se les presente sin siquiera leerlos, o los que descargan cualquier cosa de cualquier lado y la instalan “para probar”, o peor aún, quienes se sienten seguros por tener un antivirus instalado y jamás lo actualizaron desde la instalación.
Una vez que el usuario “normal” les abrió la primera puerta a cualquiera de estos programas malignos, ellos se encargan del resto, asegurandose por diversos métodos el volver a ejecutarse en cada arranque de Windows.
La idea de este texto es explicar un poco cuales son esos “diversos métodos” que utilizan para hacernos creer que son eternos, y que la única solución es formatear y reinstalar…

INICIO

Cualquiera que haya usado Windows conoce la carpeta INICIO (Boton Inicio –> Programas –> Inicio). Desde la época del Win 3.1 para acá, esa carpeta esta presente en todas las versiones, y su función es ejecutar cualquier programa que se encuentre o tenga un acceso directo dentro de ella. Para los modernos spywares, troyanos o virus, esta carpeta no presenta ningún peligro, ya que sería un lugar demasiado obvio. Pero siempre podemos eliminar el acceso directo de un programita que se ejecuta desde ahí y nos roba algun recurso.

MSCONFIG

El MsConfig es una herramienta que Microsoft incluye en sus sitemas desde el Win98 en adelante. Para poder acceder a ella basta con ir a Inicio –> Ejecutar Y tipear msconfig.
Esta herramienta nos permite tener un control casi completo del inicio del sistema sin tener que entrar al Registro de Windows.
En la pestaña “Inicio” se encuentra una lista de todos los ejecutables que se cargan al arrancar el sistema. Basta con destildarlos para que no se vuelvan a ejecutar.
En la linea de los servidores (WinNT/2000/XP) existe otra pestaña llamada “Servicios” que al igual que la anterior tiene una lista de los servicios que se inician con el sistema. Recuerden que muchos programas no solo requieren un ejecutable, sino tambien un servicio que se inicie con el propio sistema operativo y este activo todo el tiempo aunque el programa no se utilice (léase Antivirus, Drivers, etc).

Una captura del msconfig
Una captura del msconfig

WIN.ini

Este archivito se encuentra en la carpeta windows y tiene la configuración del sistema. Aunque tambien es posible acceder a el desde una de las pestañas del msconfig. En la primera sección de este archivo de nombre [windows] se encuentra la clave run= que debería estar vacia. Bien, si a continuacion del igual ponemos la ruta y el nombre de un ejecutable, se ejecutaria cada vez que inicie el sistema. (por ejemplo: run=c:/archivo_maligno.exe)

SYSTEM.ini

Otro método consiste en agregar un ejecutable como parametro del shell usado (generalmente el exporer.exe), en la seccion [BOOT] del archivo system.ini de la siguiente manera: SHELL=explorer.exe archivo_maligno.exe

REGISTRO

Antes que nada, la advertencia de rigor: TENGAN MUCHO CUIDADO SI VAN A TOCAR EL REGISTRO Y HAGAN UNA COPIA DE SEGURIDAD PRIMERO.

Hecha la advertencia, podemos decir que la lista de ejecutables que vimos en msconfig es en realidad una vista del registro. Pero que mejor que ir a las fuentes e investigar un poco.
Para acceder: Inicio –> Ejecutar –> Regedit

Allí nos dirigimos a la clave que nos interesa en este caso:

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]

que es donde se encuentra la lista con todos los programas que se ejcutan al inicio. La mayoría de los virus, troyanos y spyware se instalan en este lugar.

Las otras dos claves que tenemos que revisar son las llamadas:

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/Once]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/Services]

en estas dos se listan todos los servicios. En la actualidad muchos troyanos se instalan de esta manera, así que también debemos revisarlas y eliminar lo que no debe estar aquí.

Otra clave a tener en cuenta, donde se pueden alojar los ejecutables es en:

[HKEY_LOCAL_MACHINE/SOFTWARE/Classes/exefile/shell/open/command]

cambiando el valor “%1” por  %* por archivo_maligno.exe.

Este lugar es bastante interesante, por lo desconocido y por el funcionamiento, ya que indica que cada vez que se ejecute un archivo EXE en el sistema, se estará ejecutando tambien el archivo_maligno.exe.