Inicio seguro de Windows
Al conocer como funciona el inicio seguro de Windows, estaremos en condiciones de mantener el sistema en buena forma y fuera de peligro.
Este documento es una breve explicación sobre los lugares más comunes donde se suelen alojar los virus, gusanos y troyanos, y como deshacerse de ellos con facilidad.
Todos los que llevamos años trabajando, usando y jugando con las distintas versiones del sistema operativo de Microsoft, hemos aprendido a buscar las soluciones a los problemas que surgen a diario. Con el objetivo de evitar caer en la reinstalación del sistema, el formateo de discos, la estaca en el gabinete y hasta la cruz de sal.
Lo primero que debemos asimilar es que la mayoría de los programas espías, programas basura, discadores, troyanos, virus y demás intrusos, son justamente eso: PROGRAMAS.
Y para poder convertirse en dañinos, robar datos, abrir puertos o conectarnos con una página rusa de mujeres barbudas, necesitan ejecutarse.
La primera vez que se ejecuta cualquiera de estos programas, se aprovechan del desconocimiento y la falta de interés de los usuarios «normales».
Esos que sin preocuparse por la salud de sus sistemas abren cualquier adjunto que les llegue por correo electrónico sin prestar un mínimo de atención, o navegan por sitios desconocidos aceptando cualquier mensaje que se les presente sin siquiera leerlos.
También están los que descargan cualquier cosa de internet y la instalan «para probar», o peor aún, quienes se sienten seguros por tener un antivirus y jamás lo actualizaron.
Una vez que el usuario «normal» les abrió la primera puerta a cualquiera de estos programas malignos, ellos se encargan del resto, asegurándose por diversos métodos el volver a ejecutarse en cada inicio de Windows.
La idea de este texto es explicar un poco cuales son esos «diversos métodos» que utilizan para hacernos creer que son eternos, y que la única solución es formatear y reinstalar.
INICIO
Cualquiera que haya usado Windows conoce la carpeta INICIO (Boton Inicio –> Programas –> Inicio). Desde la época del Win 3.1 para acá, esa carpeta esta presente en todas las versiones, y su función es ejecutar cualquier programa que se encuentre o tenga un acceso directo dentro de ella.
Para los modernos spywares, troyanos o virus, esta carpeta no presenta ningún peligro, ya que sería un lugar demasiado obvio. Pero siempre podemos eliminar el acceso directo de un programita que se ejecuta desde ahí y nos roba algún recurso.
MSCONFIG
El MsConfig es una herramienta que Microsoft incluye en sus sistemas desde el Windows98 en adelante. Para poder acceder a ella basta con ir a Inicio –> Ejecutar y tipear msconfig.
Esta herramienta nos permite tener un control casi completo del inicio del sistema sin tener que entrar al Registro de Windows.
En la pestaña «Inicio» se encuentra una lista de todos los ejecutables que se cargan al arrancar el sistema. Basta con quitar el tilde para que no se vuelvan a ejecutar.
En la linea de los servidores (WinNT/2000/XP) existe otra pestaña llamada «Servicios» que al igual que la anterior tiene una lista de los servicios que se inician con el sistema.
Recuerden que muchos programas no solo requieren un ejecutable, sino también un servicio que se inicie con el propio sistema operativo y permanezca activo todo el tiempo, aunque el programa no se utilice (léase Antivirus, Drivers, etc).
WIN.ini
Este archivito se encuentra en la carpeta windows y contiene la configuración del sistema. Aunque también es posible acceder a el desde una de las pestañas del msconfig.
En la primera sección de este archivo de nombre [windows] se encuentra la clave run= que debería estar vacía. Bien, si a continuación del igual ponemos la ruta y el nombre de un programa, éste se ejecutaría en cada inicio del sistema. (por ejemplo: run=c:/archivo_maligno.exe)
SYSTEM.ini
Otro método consiste en agregar un ejecutable como parámetro del shell usado (generalmente el exporer.exe), en la sección [BOOT] del archivo system.ini de la siguiente forma: SHELL=explorer.exe archivo_maligno.exe
REGISTRO
Antes que nada, la advertencia de rigor: TENGAN MUCHO CUIDADO SI VAN A TOCAR EL REGISTRO Y HAGAN UNA COPIA DE SEGURIDAD PRIMERO.
Hecha la advertencia, podemos decir que la lista de ejecutables que vimos en msconfig es en realidad una vista del registro. Pero que mejor que ir a las fuentes e investigar un poco.
Para acceder hay que ejecutar: Inicio –> Ejecutar –> Regedit
Allí nos dirigimos a la clave que nos interesa en este caso:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
que es donde se encuentra la lista con todos los programas que se ejecutan al inicio seguro de Windows. La mayoría de los virus, troyanos y spyware se instalan en este lugar.
Las otras dos claves que tenemos que revisar son las llamadas:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/Once] [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/Services]
en estas dos se listan todos los servicios. En la actualidad muchos troyanos se instalan de esta manera, así que también debemos revisarlas y eliminar lo que no debe estar aquí.
Otra clave a tener en cuenta, donde se pueden alojar los ejecutables es en:
[HKEY_LOCAL_MACHINE/SOFTWARE/Classes/exefile/shell/open/command]
cambiando el valor «%1» por %* por archivo_maligno.exe.
Este lugar es bastante interesante, por lo desconocido y por el funcionamiento, ya que indica que cada vez que se ejecute un archivo EXE en el sistema, se estará ejecutando también el archivo_maligno.exe.