Instituto Tecnológico de Costa Rica
Escuela de Ingeniería Electrónica.
Diagnóstico y Virus
1 Índice de contenido Malware...... 5 Noticias ...... 22 Cuidado con los falsos antivirus...... 38 Conficker...... 44 Antivirus...... 47 SmitFraud...... 61 Spybot Search and Destroy...... 66 Práctica de Instalación de Avast Antivirus...... 82 Revisión de infecciones Online...... 85 Instalación de Microsoft Virtual PC...... 87 Deshabilitar auto-ejecución de medios de almacenamiento extraíbles...... 110 Firewall personal...... 114 Práctica: Troyano Netbus...... 121 Mediciones de Ancho de Banda ...... 126 Consola de recuperación de Windows XP...... 137 Recuperación de contraseñas en Windows XP...... 152 Win XP: Cambiar/Borrar contraseña del Administrador...... 152 Reparar el Registro en Windows XP...... 154 Diagnósticos de un computador personal...... 160 Práctica sobre Diagnósticos de un computador personal...... 161 Crear un punto de restauración...... 166 Póngase en marcha con el escritorio remoto...... 174 Cómo iniciar una sesión de escritorio remoto...... 178 Power On Self Test (POST)...... 184 Identificadores de la Comisión Federal de Comunicaciones...... 188 CompTIA identificadores de reparación...... 191 LiveCD/DVD...... 196 Reparando Windows con Knoppix ...... 208 Cómo modificar el archivo Boot.ini en Windows XP...... 222
2 Instituto Tecnológico de Costa Rica Escuela de Ingeniería en Electrónica Programa de Capacitación en Electrónica Programa de Técnicos en Mantenimiento y Reparación de PC's
Curso de Diagnóstico y Virus Instructor: Ing. William Marín Moreno.
Malware
De WIKIPEDIA, la enciclopedia libre Malware (del inglés malicious software, también llamado badware, software malicioso o software malintencionado) es un software que tiene como objetivo infiltrarse en el sistema y dañar la computadora sin el conocimiento de su dueño, con finalidades muy diversas, ya que en esta categoría encontramos desde un troyano a un spyware. Esta expresión es un término general muy utilizado por profesionales de la computación para definir una variedad de software o programas de códigos hostiles e intrusivos. Muchos usuarios de computadores no están aún familiarizados con este término y otros incluso nunca lo han utilizado. Sin embargo la expresión "virus informático" es más utilizada en el lenguaje cotidiano y a menudo en los medios de comunicación para describir todos los tipos de malware. Se debe considerar que el ataque a la vulnerabilidad por malware, puede ser a una aplicación, una computadora, un sistema operativo o una red.
Factores que hacen a un sistema más vulnerable Existen varios factores que hacen a un sistema más vulnerable: • Código sin confirmar - Un código en un diskette, en CD-ROM o USB, se puede ejecutar por la irresponsabilidad o ignorancia del usuario. • Defectos - La mayoría de los sistemas contienen errores que se pueden aprovechar por el malware, mientras no se ponga el parche correspondiente. • Homogeneidad - Cuando todas las computadoras en una red funcionan con el mismo sistema operativo, sí pueden corromper ese SO, podrán afectar cualquier computadora en el que funcione. • Sobre-privilegios del código - La mayoría de los sistemas operativos permiten que el código sea ejecutado por un usuario con todos los derechos. • Sobre-privilegios del usuario - Algunos sistemas permiten que todos los usuarios modifiquen sus estructuras internas.
3 Bugs
La mayoría de los sistemas contienen bugs (errores) que pueden ser aprovechados por el malware. Los ejemplos típicos son los desbordamiento de búfer (buffer overflow), en los cuales la estructura diseñada para almacenar datos en un área determinada de la memoria permite que sea ocupada por más datos de la que le caben, sobre escribiendo áreas anexas. Esto puede ser utilizado por el malware para forzar al sistema a ejecutar su código. Nota histórica: La palabra BUG se utiliza para referirse a fallos, pero una de las connotaciones históricas más comentada es "un error computacional causado por una polilla que se interpuso entre los contactos de un relé probablemente debido al calor que desprendían las primeras computadoras", hay otra historia, que suele suceder en contadas ocasiones, es que animales de compañía se coman el cableado. Curiosamente en el mundo de la informática, se ha venido utilizando para errores software, cuando originalmente era para referirse a errores hardware. Discos de inicio
Los PCs tenían que ser booteadas (iniciadas) con un diskette, y hasta hace poco tiempo era común que fuera el dispositivo de arranque por defecto. Esto significó que un diskette contaminado podría dañar la computadora durante el arranque, e igual se aplica a CDs y llaves USB. Aunque eso es menos común ahora, sigue siendo posible olvidarse de que el equipo se inicia por defecto, en un medio removible, y por seguridad normalmente no debería haber ningún diskette, CD, etc, al encender el computador. Para solucionar esto basta con entrar en la BIOS del ordenador y cambiar el modo de arranque del ordenador a HDD/CDROM/USB/Floppy, aunque para volver a instalar el sistema operativo hay que revertir los cambios a Floppy/CDROM/USB/HDD. Homogeneidad
Una causa no citada de la vulnerabilidad de redes, es la homogeneidad del software multiusuario. En particular, Microsoft Windows tiene una gran parte del mercado que al concentrarse en él permitirá a crakers derribar una gran cantidad de sistemas. Sobre-privilegios de usuario
En algunos sistemas, los usuarios no-administradores son sobre-privilegiados por diseño, en el sentido que se les permite modificar las estructuras internas del sistema. En algunos ambientes, los usuarios son sobre-privilegiados porque les han concedido privilegios inadecuados de administrador o el estado equivalente. Éste es sobre todo una decisión de la configuración, pero en los sistemas de Microsoft Windows la configuración por defecto es sobre-privilegiar al usuario. Esta situación existe debido a decisiones tomadas por Microsoft para priorizar la compatibilidad con viejos sistemas sobre la necesidad de una nueva configuración de seguridad y porque las aplicaciones típicas fueron desarrollados sin tomar en cuenta a los usuarios sin privilegios.
4 Muchas aplicaciones existentes que requieren exceso de privilegio (código sobre- privilegiado) pueden tener problemas con la compatibilidad con Vista. Sin embargo, la característica del control de la cuenta del usuario de Vista procura remediar las aplicaciones no diseñados para los usuarios no privilegiados, actuando como apoyo para resolver el problema del acceso privilegiado inherente en las aplicaciones heredadas. Sobre-privilegio de código
Los malware, funcionando como código sobre-privilegiado, pueden utilizar estos privilegios para cambiar el sistema. Casi todos los sistemas operativos populares, y también muchas aplicaciones escritas no prohíben algunos códigos también con muchos privilegios, generalmente en el sentido que cuando un usuario ejecuta el código, el sistema no limita ese código a los derechos del usuario. Esto hace a los usuarios vulnerables al malware en la forma de anexos de E-mail, que pueden o no pueden ser disfrazados. Dado esta situación, se advierte a los usuarios que abran solamente archivos solicitados, y ser cuidadosos de archivos recibidos de fuentes conocidas o desconocidas que no han solicitado. Es también común para los sistemas operativos que sean diseñados de modo que reconozcan más dispositivos de los diversos fabricantes y cuenten con drivers de estos hardwares, aún algunos que puede no ser muy confiables. Clasificación
Existen muchísimos tipos de malware, aunque algunos de los más comunes son los virus informáticos, los gusanos, los troyanos, los programas de spyware/adware o incluso ciertos bots. Dos tipos comunes de malware son los virus y los gusanos informáticos, este tipo de programas tienen en común la capacidad para auto replicarse,[2] es decir, pueden contaminar con copias de sí mismos y en algunas ocasiones mutando, la diferencia entre un gusano y un virus informático radica en la forma de propagación, un gusano opera a través de una red, mientras que un virus lo hace a través de ficheros a los que se añade. Los virus informáticos utilizan una variedad de portadores. Los blancos comunes son los archivos ejecutables que son parte de las aplicaciones, los documentos que contienen macros (Virus de macro), y los sectores de arranque de los discos de 3 1/2 pulgadas y discos duros (Virus de boot, o de arranque). En el caso de los archivos ejecutables, la rutina de infección se produce cuando el código infectado es ejecutado, ejecutando al primero el código del virus. Normalmente la aplicación infectada funciona correctamente. Algunos virus sobrescriben otros programas con copias de ellos mismos, el contagio entre computadoras se efectúa cuando el software o el documento infectado van de una computadora a otra y es ejecutado. Cuando un software produce pérdidas económicas en el usuario del equipo, también se clasifica como software criminal o Crimeware, término dado por Peter Cassidy, para diferenciarlo de los otros tipos de software malignos, en que estos programas son encaminados al aspecto financiero, la suplantación de personalidad y el espionaje, al identificar las pulsaciones en el teclado o los movimientos del ratón o creando falsas páginas de bancos o empresas de contratación y empleo para con ello conseguir el número de cuenta e identificaciones, registros oficiales y datos personales con el objetivo de hacer
5 fraudes o mal uso de la información. También es utilizando la llamada Ingeniería social, que consiste en conseguir la información confidencial del propio usuario mediante engaños, como por ejemplo, mediante un correo en donde mediante engaños se solicita al usuario enviar información privada o entrar a una página falsificada de Internet para hacerlo. Adware
Este software muestra o baja anuncios publicitarios que aparecen inesperadamente en el equipo, pudiendo hacerlo simultáneamente a cuando se está utilizando la conexión a una página Web o después de que se ha instalado en la memoria de la computadora. Algunas empresas ofrecen software "gratuito" a cambio de publicitarse en su pantalla, otras al instalar el programa, se instalan junto con Spyware sin que lo note. También existen algunos programas "a prueba" (shareware), que mientras no son pagados, no permiten algunas opciones como puede ser imprimir o guardar y además en ocasiones cuentan con patrocinios temporales que al recibir la clave libera de tales mensajes publicitarios y complementan al programa. El adware es una aplicación que muestra publicidad y que suele acompañar a otros programas. Si bien esto puede hacerse, en algunas oportunidades, bajo el conocimiento del usuario, el problema radica en los casos en los cuales se recoge información sin consultar. También pueden ser fuente de avisos engañosos. Por lo general los programas adware tiene la capacidad de conectarse a servidores en línea para obtener publicidades y enviar la información obtenida. Cabe aclarar que no toda aplicación que muestra algún tipo de publicidad incluye adware y esto, en muchos casos, se ha transformado en una controversia para determinar cuando un elemento se encuadra dentro de estas características. Backdoor
Una puerta trasera (también conocidos como Backdoor) es un software que permite el acceso al sistema de la computadora ignorando los procedimientos normales de autenticación o facilita la entrada a la información de un usuario sin su permiso o conocimiento. Como es el caso de e-mail, que aparentan ser enlaces a actualizaciones y que al pulsarla nos conecta a páginas similares a las originales, descargando archivos backdoor que al instalarlos, abrirá un puerto del equipo, dejándolo a expensas del autor del malware o para poder descargar otros códigos maliciosos. Según como trabajan e infectan a otros equipos, existen dos tipos de puertas traseras. El primer grupo se asemeja a los Caballo de Troya, es decir, son manualmente insertados dentro de algún otro software, ejecutados por el software contaminado e infecta al sistema para poder ser instalado permanentemente. El segundo grupo funciona de manera parecida a un gusano informático, el cuál es ejecutado como un procedimiento de inicialización del sistema y normalmente infecta por medio de gusanos que lo llevan como carga.
Badware Alcalinos
Este es un tipo de Malware mitad spyware, mitad backdoor, suele residir en las ventanas del
6 sistema observando incesantemente hasta que se lanza al acecho de un usuario.
Bomba fork
Programa que se autoreplica velozmente para ocupar toda la memoria y capacidad de proceso del ordenador donde se ejecutan, debido a que su forma de ataque es del tipo denegación de servicio (DoS) que es un ataque al servidor o a la red de computadoras para producir la inconectibilidad a una red debido a que consume el ancho de banda atacado, al crear programas y procesos simultáneos muy rápidamente, saturando el espacio disponible e impidiendo que se creen procesos reales del usuario.
Bots
Es un programa robot que se encarga de realizar funciones rutinarias, pero que también pueden ser usados para, por ejemplo, crear cuentas en los diferentes sitios que otorgan e- mail gratuitos, para con estas cuentas realizar daños. En algunos casos este bot, puede encargarse de fingir ser un humano dando contestación a preguntas como es el caso de supuestos adivinos que dan el futuro a aquellos que pagan por este servicio o fingir ser una mujer u hombre con quien se esta teniendo una candente conversación, pero también pueden ser juegos de Internet programados para jugar contra supuestamente una serie de contrincantes que lo son en forma virtual, pudiendo pedir cantidades de dinero para poder participar y con ello además poder tener datos de cuentas de tarjetas de crédito. También son programas que a través de órdenes enviadas desde otra computadora controlan el equipo personal de la víctima, es decir convirtiéndola en un "Zombi".
Bug
Es todo error en la programación que impide funcionar bien a los equipos de cómputo. Se le llama así por la entrada de una polilla encontrada atrapada entre los puntos en el relé # 70, panel F, de la Mark II , Construida por Aiken, cuando era probada en la Universidad de Harvard, el 9 de septiembre de 1945. Se dice que fue Grace Murray Hopper, quien identificó a la polilla dando el término bug (insecto) (anglicismo que significa error o fallo en un programa o sistema), cuando, trabajando en el equipo de programación de la marina, escribió en su cuaderno de trabajo: "moth in relay, First Actual case of bug being found" (polilla en relé, primer caso real de insecto -error de computación- encontrado). Puso la palabra "debugging a computer program" es decir de que "depurando un programa de computadora", o, habían eliminado errores del programa de cómputo, y anexo al insecto.
7 El registro, con la polilla incrustada, Cortesía del Naval Surface Warfare Center, Dahlgren, VA., 1988
Cookies
La cookie es el tipo de almacenamiento de información guardado en el propio equipo que puede hacer normalmente el seguimiento de las preferencias en Internet dándole una clave que su creador podrá identificar para con ello tener una referencia de visitas con la finalidad de medir preferencias de mercado. Pero también por lo mismo puede ser usada por hackers para analizar qué páginas consulta un usuario regularmente, quitándole privacidad. Estos cookies se pueden aceptar o evitar en nuestros equipos, por medio de la configuración de privacidad de las opciones del navegador de Internet. Crackers
Son programas que monitorean las contraseñas en las aplicaciones de la máquina. Además de referirse a hackers con malas intenciones,a los que se les conocen también como ladrones de contraseñas, se considera que lo hacen para demostrar su habilidad y satisfacer su vanidad, dañando la relativa seguridad del cifrado, en algunos casos dejando hasta su rubrica, para hacer más palpable su osadía.
8 Cryptovirus, Ransomware o Secuestradores Es el programa que entra a la computadora y se instala, registra su estancia en dispositivos de almacenamiento extraíble (flash disks, pendrives, etc.) buscando y cifrando los archivos del registro del disco infectado, después borran los originales en forma inadvertidamente para el usuario, haciéndolos inaccesibles para el dueño y cuando se intenta abrir algún documento, a través de un archivo de texto que forma parte de este malware informa, como en el AIDS.exe: "Si quiere obtener una clave para liberar el documento, ingrese 378 dólares a la cuenta en la ciudad de Panamá número X",o también se le solicita que se envíe el pago vía Internet (rescate), para obtener la clave de dicha codificación (la liberación del rehén). o bien simplemente impide el ingreso del usuario a su unidad de almacenamiento extraíble ocasionando el bloqueo temporal del sistema hasta la desconexión del dispositivo de la PC. Como en el "Cn911.exe" (aplicación encubierta como ejecutable que se instala en el registro de usuario y lo modifica.) La codificación es de claves simétricas simples, es decir son aquellas que utilizan la misma clave para cifrar y descifrar un documento lo que ocasiona la reducción de la capacidad de almacenamiento del disco extraíble, sin embargo algunos usuarios con conocimientos informáticos avanzados, descifran, cuales son dichas claves y pueden llegar a recuperar la capacidad real del dispositivo, trucada por el malware.
Dialers
Los dialers son programas que llaman a un número telefónico de larga distancia, o de tarifas especiales, para, a través del módem, entrar de forma automática y oculta para el usuario y sin su consentimiento, principalmente a páginas de juegos, adivinación o pornográficas, que van a redituar en beneficio económico a los creadores del malware, pero que además al usuario le crean la obligación de pagar grandes tarifas por el servicio telefónico. Existen en Internet páginas preparadas para descargar, instalar y ejecutar dialers de conexión y virus informáticos capaces de llevar a cabo todo lo anterior, con la desventaja de su rápida propagación. Actualmente las conexiones por medio de banda ancha, han evitado estos problemas. Exploit
Un exploit es aquel software que ataca una vulnerabilidad particular de un sistema operativo. Los exploits no son necesariamente maliciosos –son generalmente creados por investigadores de seguridad informática para demostrar que existe una vulnerabilidad. Y por esto son componentes comunes de los programas maliciosos como los gusanos informáticos.
9 Exploit
Falso antivirus
Hacen creer que es un antivirus gratuito y que la computadora ha sido detectada infectada, pero que para deshacerse de la infección deberá comprar la versión completa, y si trata de eliminar esta instalación del supuesto antivirus le informan que debe tener la clave de desinstalación, la cual deberá comprar. En caso de que el falso antivirus no deje desinstalarse hay que eliminar el registro, que puede ser ejecutado desde inicio-ejecutar y escribiendo la palabra regedit.
Hijacker
Programa que realiza cambios en la configuración de la página de inicio del navegador, que lo redirige a otras páginas de características indeseables como son las pornográficas y más peligrosamente a copias casi fieles de las bancarias.
Hoaxes, Jokes o Bulos
Son bromas que semejan ser virus, pero que, ciertamente no los son. Normalmente una persona conocida nuestra recibe una "alarma" de un supuesto virus y nos "hace el favor" de notificarnos para que tomemos precauciones en nuestro equipo. El objetivo de la persona que inició el rumor o hoax se ha cumplido, al preocupar al usuario con la broma y que, en muchos casos, puede hacer al usuario auto eliminar algún supuesto archivo contaminado, lo cual podría afectar realmente al funcionamiento del sistema, llegando incluso a tener que reinstalarlo.
10 Keystroke o keyloggers
Son programas espías, que toman el control de los equipos, para espiar y robar información, monitorea el sistema, registrando las pulsaciones del teclado, para robar las claves, tanto de páginas financieras y correos electrónicos como cualquier información introducida por teclado, en el equipo utilizado para saber lo que la víctima ha realizado como conversaciones que la misma tuvo, saber donde ha entrado, qué ha ejecutado, qué ha movido, etc. Pueden ser también aparatos o dispositivos electrónicos colocados intencionalmente en equipos, que se intercalan entre el dispositivo y el computador. Ladilla virtual
Conocido como (virtual crab). Este tipo de programa maligno que, como analogía al parásito de transmisión sexual, entra en una computadora a través del sexo virtual, sitios pornográficos o cualquier aplicación relacionada. Los sitios web pornográficos suelen ser un gran caldo de cultivo para estos Malware virtuales. Lammer
Típicamente el término lamer se aplica: A los usuarios de programas informáticos, que es: • Una persona que alardean de pirata informático, crackers o hackers y solo intenta utilizar programas de fácil manejo realizados por auténticos hackers, sin obtener los resultados que pretendía; incluso llegando a perjudicarse a el mismo. • Una persona que no tiene habilidad para manejar programas básicos o conocidos, para su uso en el computador u otro aparato digital (ejemplo celulares). A los usuarios de Internet, en particular a los usuarios de chats, foros, blog, wiki, listas de correo, y otros medios de comunicación electrónica, que es: • Una persona que realmente se cree ser un entendido o tener grandes conocimientos, siendo en realidad un inepto en la materia. • Una persona con intención de molestar a los demás usuarios (trol). • Una persona con poco respeto a la autoridad y a los moderadores en medios de comunicación como chats y foros. • Una persona que no entiende las reglas del chat, foros, weblogs a pesar de ser un usuario antiguo. • Una persona que en las redes P2P, es considerado un usuario leecher, ya que solo descargan archivos y no comparten nunca (por ejemplo, apagando el programa cuando ha terminado la descarga). • Una persona que en el mundo del P2P pero sobre todo el del P2M, comparte archivos subidos por otras personas como si fuesen suyos propios, sin pedir permiso al autor original y a veces sólo cambiando el nombre del archivo. Leapfrog
Las ranas como también se conocen en castellano son programas que entran a los equipos
11 para conocer las claves de acceso y las cuentas de correo almacenadas en la libreta de direcciones para ser utilizadas en la replicación de estos, a través de enviar copias del gusano.
Parásito Informático
Este tipo de malware es el que se adhieren a archivos (especialmente ejecutables), como lo haría un parásito. Ese archivo ejecutable es denominado portador o Host y el parásito lo utiliza para propagarse. Sí el programa es ejecutado, lo primero que se ejecuta es el parásito informático, y luego, para no levantar sospechas, se ejecuta el programa original. Muchas veces es aquí donde los parásitos fallan, porque hay programas que detectan estas modificaciones y lanzan errores (incluso errores de advertencias de presencia de malware).
Pharming
Es el software maligno que suplanta el DNS, en el archivo host local, para conducirnos a una página Web falsa, con lo cual, al intentar entrar a un determinado nombre de dominio en nuestro navegador nos redirecciona al que el cracker, ha cambiado. Por ejemplo la página de un banco pudiera ser www.bankito.com (xxx.156.24.196), nos lo cambia por www.banquita.com (YYY.132.30.60), con lo que al parecerse, no nos percatamos normalmente que nos esta enviando a otra página controlada por el bandido cibernético. Para poder instalarnos la página que realizara el direccionamiento, se instalará en nuestro sistema algunos programas malware ejecutables, que recibimos a través de un correo electrónico, descargas por Internet, programas P2P, etc. Siendo en este momento el más común el envió de una supuesta tarjeta de Gusanito.com, que al entrar en el vinculo contenido en el correo electrónico, no solo nos da la sorpresa de la tarjeta, sino que ha realizado la descarga correspondiente que se encargará de auto ejecutarse creando el host que redirecciona nuestro navegador a las IP de las páginas falsas administradas por el hacker.
Phishings
Del inglés "fishing" (pescando), se utiliza para identificar la acción fraudulenta de conseguir información confidencial, vía correo electrónico o página web, con el propósito de que los usuarios de cuentas bancarias lo contesten, o entren a páginas aparentemente iguales a la del banco o de los portales con ingreso por contraseña. El phishing se basa en el envío por parte de un estafador de un mensaje electrónico o enlace de una empresa supuestamente respetable. Éstas a menudo conducen a una página Web falsificada que han creado, y engañan al usuario para que introduzca su contraseña y su información personal. Así lo convierten en un blanco fácil del robo de información personal o financiera de manera electrónica utilizando el nombre de un tercero (banco) y últimamente
12 las páginas del acceso a e-mails de compañías como Yahoo!. Nunca debe darse información de cuentas bancarias por otros medios que no sea en las sucursales correspondientes al banco, ya que por medio de correos electrónicos con enlaces falsos, supuestamente del banco, pueden solicitar los números de cuentas y contraseña privados, con lo que se les está dando todo para que puedan cometer el fraude. En falsas cartas bancarias: • Se presiona al cliente con supuestas fallas en su información o en los servidores que es urgente atender. • El documento puede contar con faltas de acentos ortográficos en palabras como línea, dirección, activación, cámbiela, etc. • Para dar confianza al usuario se colocan botones e imágenes que le son conocidos por la página real y las advertencias usuales de la página de acceso normal. • Para completar el engaño, advierte del envío de e-mails falsos, siendo en sí mismo uno de ellos. • El medio para entrar a la página web suplantada puede ser "http://" (en lugar del real "https://")+ nombre de la página web (siendo este la dirección real a la que entramos normalmente) + "@" + dirección del sitio al que nos redirige.
El método de entrar a las páginas Web de los diferentes Bancos de algunos países, es usando el generador de claves dinámicas de las compañías Aladdin y el RSA SecurID, con lo que se espera terminar con los Phishing. Por lo tanto ahora el ataque de los pescadores de datos (fishing), es pidiéndole que sincronice su generador de claves, con lo que inmediatamente entran a la cuenta del usuario sacando lo que puedan y cambiando hasta las claves de acceso.
13 También Yahoo da protección por medio de la creación del llamado sello de acceso personalizado,que consiste en colocar una imagen o texto, el cual debe aparecer cada vez que se inicie sesión en Yahoo, en la computadora en que se ha colocado, púes se vincula a ella y no al usuario del correo. Si el sello de acceso NO está, es probable que sea una página falsificada creada por un estafador para robar los datos personales.
Generador de claves dinámicas
14 Pornware Describe programas que usan el Módem de la computadora para conectarse a servicios de pago por evento pornográfico o para bajar contenidos pornográficos de la Web. Es un caso particular de Dialers. Es un auténtico fraude mediante información engañosa, manifiestan que es completamente gratuito, el sitio a visitar es en efecto sin costo, pero solo se tiene acceso por vía telefónica (MODEM), que resulta con una alta tarifa por minuto que se refleja en el recibo telefónico (por lo regular utilizan una clave de larga distancia internacional (900) con un cargo aproximado de $20.00 USD por minuto). Esta técnica fraudulenta utiliza como señuelo videojuegos, salva pantallas, programas o cualquier otra falacia que requiera acceso mediante un MODEM telefónico. Primero se descarga desde algún sitio que ofrece todo absolutamente gratis un pequeño programa ejecutable, que coloca en el escritorio de la PC un llamativo ícono para que cualquier incauto con un simple click haga el enlace mencionado, aparecen insistentes mensajes sugiriendo de que todo es completamente gratis y sin límite de tiempo. Sin embargo, se están extinguiendo por dejarse de lado los Módems convencionales de 56Kbps, y usarse Tarifas Planas en Red Ethernet de Banda ancha o ADSL.
Rabbit o conejos
Reciben este nombre algunos gusanos informáticos, cuyos códigos malignos llenan el disco duro con sus reproducciones en muy poco tiempo y que también pueden saturar el ancho de banda de una red rápidamente además de poder mandar un número infinito de impresiones del mismo archivo, colapsando la memoria de la impresora al saturarla. Riskware
Programas originales, como las herramientas de administración remota, que contienen agujeros usados por los crackers para realizar acciones dañinas. Rootkit
Artículo principal: Rootkit Los rootkits son programas que son insertados en una computadora después de que algún atacante ha ganado el control de un sistema. Los rootkit generalmente incluyen funciones para ocultar los rastros del ataque, como es borrar los log de entradas o encubrir los procesos del atacante. Los rootkit pueden incluir puertas traseras, permitiendo al atacante obtener de nuevo acceso al sistema o también pueden incluir exploits para atacar otros sistemas y evitan ser desinstalados o eliminados a toda costa, pues cuenta con protección para no permitirlo, con lo cual se convierte en un programa indeseable y molesto. Los rootkit se volvieron famosos a partir de uno que estaba incluido en un mecanismo anticopia en algunos CD de música de la empresa Sony.
15 Scumware o escoria
Scumware o escoria es cualquier software que hace cambios significativos en la apariencia y funciones de las páginas Web sin permiso del Administrador (Webmaster) o propietarios. Por ejemplo, un número de productos sobreponen la publicidad de los banners con otros anuncios, a veces para los productos de la competencia. El Scumware puede agregar hyperlinks desautorizados a la sección opinión de una página Web - a veces usar de un usuario acoplamientos a los sitios posiblemente desagradables. Tales programas pueden interferir con hipervínculos (hyperlinks) existentes agregando otros destinos a los previstos. A veces, el Scumware es conocido como thiefware.
Spam
Se le llama spam a los e-mailes basura, que son enviados masivamente a direcciones electrónicas compradas por empresas con la finalidad de vender sus productos. Últimamente han surgido páginas con mensajes que aparecen en un corto instante de tiempo (efecto flash) tratando de producir en el inconsciente de la mente la necesidad de comprar el producto anunciado como si de un mensaje subliminal se tratara. Actualmente existen filtros que bloquean los spam en la mayoría de los servidores de correo, además de existir ya legislación contra los spam,[20] México cuenta desde el 2000,con una ley en donde se prohíben las practicas comerciales no solicitas por correo electrónico, además de artículos en la Ley Federal de Protección al Consumidor, que regulan el comercio electrónico,[21] aunque los spam son enviados desde otros países para evadir estas y otras restricciones mundiales.
Lista de correos spam
Se calcula que alrededor del 75% del correo electrónico que circula en la red son spam, pero podemos observar que tiene variaciones mensualmente. Sophos, en su lista “Dirty dozen spam relaying countries”, incluye una categoría de generación de spam por país con estos
16 porcentajes: United States 23.2%, China (inc. Hong Kong) 20.0%, Corea 7.5%, Francia 5.2%, España 4.8%, Polonia 3.6% , Brasil 3.1%, Italia 3.0%, Alemania 2.5%, Inglaterra 1.8%, Taiwán 1.7%, Japón 1.6%, Otros 22.0%.
Spyware
Los Spywares o Programa espía, son aplicaciones que se dedican a recopilar información del sistema en el que se encuentran instaladas(“husmean” la información que está en nuestro equipo) para luego enviarla a través de Internet,generalmente a alguna empresa de publicidad en algunos casos lo hacen para obtener direcciones de e-mail. Todas estas acciones se enmascaran tras confusas autorizaciones al instalar programas de terceros, por lo que rara vez el usuario es consciente de ello. Estos agentes espía, pueden ingresar a la PC por medio de otras aplicaciones. Normalmente trabajan y contaminan sistemas como lo hacen los Caballos de Troya. Troyano
Un troyano o caballo de Troya (traducción literal del inglés Trojan horse) es un malware que bajo una apariencia inofensiva se ejecuta de manera oculta en el sistema y permite el acceso remoto de un usuario no autorizado al sistema. El término viene de la historia del Caballo de Troya en la mitología griega. Los troyanos no propagan la infección a otros sistemas por si mismos y necesitan recibir instrucciones de un hacker para realizar su propósito. Se considera que el primer troyano aparece a finales de los años 1980, pero eran poco comunes al ser necesario que el programa se distribuyera casi manualmente, fue hasta que se generalizo la comunicación por Internet, que se hizo más común y peligroso al entrar ocultos e instalarse cuidadosamente sin que se percatara el usuario del equipo, con lo que sean considerados una de las más temibles invasiones ilegales en las estaciones de trabajo, servidores y computadoras personales.
Ventanas emergentes/POP-UPS
Son, generalmente, ventanas muy molestas que aparecen al navegar y muestran publicidad o información que es difícil de eliminar y que aparece constantemente. Son una forma en línea de publicidad en el World Wide Web, que aumentan el tráfico de la red o que son también usadas para capturar direcciones de e-mail. Trabaja cuando ciertos sitios abren una ventana del buscador para exhibir los anuncios. La ventana pop-up que contiene un anuncio es generada normalmente por JavaScript, pero se puede generar por otros medios también.
17 Una variante en las ventanas pop-up es hacer aparecer el anuncio debajo de la ventana activa o en direcciones fuera del área visual, normalmente en la parte inferior derecha, y suelen aparecer como intentos de abrir una página nueva durante unos milisegundos, hasta cargarse y cumplir su cometido, cerrándose inmediatamente, con lo cual el usuario no se percata cuando surge, sino hasta que cierra su navegación, con lo que difícilmente puede identificar junto a que página surgió, sobre todo en aquellas sesiones en que se tienen varios documentos abiertos. Worms o gusanos
Los gusanos informáticos son similares a los virus, pero los gusanos no dependen de archivos portadores para poder contaminar otros sistemas. Estos pueden modificar el sistema operativo con el fin de auto ejecutarse como parte del proceso de inicialización del sistema. Para contaminar otros sistemas, los gusanos explotan vulnerabilidades del objetivo o utilizan algún tipo de ingeniería social para engañar a los usuarios y poderse ejecutar. El caso más conocido es el del gusano Blaster que se distribuyo por internet rápidamente gracias a una vulnerabilidad de Windows, que reiniciaba al ordenador al cabo de 1 minuto, e intentaba infectar a una infinidad de computadores cercanos a la maquina (en redes locales) y lejanos (en internet) de forma aleatoria. Métodos de protección
• Usar sistemas operativos más seguros, mejores y efectivos que windows como GNU/Linux, Mac OS o FreeBSD. • Utilizar una cuenta de usuario con pocos privilegios (no administrador) en su equipo, solo utilizar la cuenta de administrador cuándo se deba cambiar una configuración o instalar un software de confianza. De todas maneras, se debe ser cauteloso con lo que se ejecuta. • Cada vez que se transfiera un archivo desde o hacia Internet se debe tener la precaución de revisarlo contra virus, crimeware o malwares, pero lo más importante saber de dónde proviene. • Se debe comprobar todos y cada uno de los medios magnéticos (Diskettes, ya en desuso), soportes ópticos (CDS, DVD, Blu-ray) o tarjetas de memoria (SD, MMC, XD, compact Flash), que se introduzcan en el ordenador. • Comprobar los archivos comprimidos (ZIP, RAR, ACE, CAB, 7z..). • Hacer copias de respaldo de programas y documentos importantes, pueden ser guardados en un Pendrive, CD, DVD, entre otros medios externos. • No instalar programas de dudoso origen. • Evitar navegar por sitios potencialmente dañinos[27] buscando cosas como "pornografía", "programas gratis", "mp3 gratis", claves, licencias o cracks para los programas comerciales. • Evita descargar programas, archivos comprimidos o ejecutables, desde redes peer-to- peer ya que no se sabe el real contenido de la descarga. • Crear una contraseña de alta seguridad. • Mantener las actualizaciones automáticas activadas, como por ejemplo el Windows Update.
18 • Tener un programa antivirus y un firewall (también llamados cortafuegos) instalados en el ordenador, un anti-espías como SpywareBlaster, Spybot - Search & Destroy, y un filtrador de IP' maliciosas como el PeerGuardian. que eventualmente también frena troyanos. • También es importante tener actualizados estos programas ya que cada día aparecen nuevas amenazas. • Desactivar la interpretación de Visual Basic VBS y permitir JavaScript JS, ActiveX y cookies sólo en páginas web de confianza. • Seguir las políticas de seguridad en cómputo
19 Instituto Tecnológico de Costa Rica Escuela de Ingeniería en Electrónica Programa de Capacitación en Electrónica Programa de Técnicos en Mantenimiento y Reparación de PC's
Curso de Diagnóstico y Virus Instructor: Ing. William Marín Moreno.
Noticias Noticias del sitio http://www.vnunet.es
Apple soluciona ocho problemas de seguridad en QuickTime Apple ha publicado una nueva versión de QuickTime, la 7.6, que solventa siete problemas de seguridad en sus versiones para Windows y OS X Leopard y Tiger. Por Pablo Molina - Hispasec [30-01-2009] Además de publicar un boletín de seguridad adicional para solucionar un fallo en el componente MPEG-2 de de QuickTime Media Player para Windows, Apple lanza QuickTime 7.6, una nueva versión que solventa siete problemas de seguridad en sus versiones para Windows y OS X Leopard y Tiger. Las vulnerabilidades solventadas en la nueva versión Quicktime 7.6 son: • Denegación de servicio y posible ejecución remota de código causada por un desbordamiento de búfer basado en heap al intentar procesar un objeto multimedia apuntado por una URL RTSP (Real Time Streaming Protocol). • * Ejecución remota de código al aprovecharse de un desbordamiento de búfer basado en heap provocado por el tratamiento erróneo de átomos THKD en un archivo de vídeo QTVR (QuickTime Virtual Reality) especialmente manipulado. • * Denegación de servicio o ejecución remota de código arbitrario a través de archivos AVI especialmente manipulados, que podrían causar un desbordamiento de búfer basado en heap. • * Otro desbordamiento de búfer, debido a un manejo incorrecto de archivos MPEG-2 con contenido de audio en formato MP3, que podría ser aprovechado por un atacante remoto para causar una denegación de servicio o ejecutar código arbitrario. • * Denegación de servicio o ejecución remota de código causada por un fallo de corrupción de memoria en Quicktime al manejar los archivos de vídeo codificados con H.263. • * Desbordamiento de búfer basado en heap que podría ser aprovechado por un atacante remoto
20 para ejecutar código arbitrario por medio de un archivo de vídeo codificado con Cinepak. • * Ejecución remota de código al aprovecharse de un desbordamiento de búfer basado en heap provocado por el tratamiento erróneo de átomos jpeg en un archivo de vídeo QuickTime especialmente manipulado. Por otra parte, el segundo boletín de seguridad publicado por Apple informa sobre una vulnerabilidad solventada en el componente QuickTime MPEG-2 Playback Component para Windows, que podría ser aprovechada para ejecutar código arbitrario lo que permitiría comprometer un sistema por completo. Todos los fallos corregidos son del tipo "Improper Input Validation", es decir, un fallo al comprobar y validar las entradas introducidas por un usuario y que, bajo ciertas circunstancias, podría aprovecharse para ejecutar código arbitrario. Este tipo de fallo encabeza el "Top 25 de los fallos de programación más peligrosos" y que podrían ser causantes de problemas de seguridad. Esta lista fue publicada a principios de año y ha sido elaborada por MITRE y SANS en colaboración con diferentes organismos oficiales, empresas y universidades. Recordamos que todas las actualizaciones se pueden instalar a través de las funcionalidades de actualización automática (Software Update) de Apple.
El malware para Mac continúa aumentando Menos de una semana después de que los investigadores descubrieran un nuevo malware diseñado para usuarios de Mac, se anuncian más. Por Rosalía Arroyo [27-01-2009] La compañía se seguridad Intego ha anunciado que el troyano, al que han bautizado como OSX.Trojan.iServices.B, se ha incluido en copias piratas de Adobe Photoshop CS4 para Mac. Un programa utilizado para generar un número de serie válido para desbloquear la aplicación de Adobe instala una puerta trasera en las máquinas que hace que formen parte de un botnet. Este descubrimiento se produce cuatro días después de que las empresas de seguridad advirtieran de otro troyano que, en esta ocasión, se esconde en copias ilegales de la suite de productividad iWork de Apple. El troyano no es la única amenaza de los usuarios del sistema operativo OS X. Según los investigadores de Kaspersky se han lanzado dos nuevas aplicaciones que afirman ofrecer protección antimalware a los usuarios de Mac. Los falsos programas antivirus han sido un elemento común en el entorno del PC y parece que ahora son cada vez más comunes en la plataforma Mac. No hay dudas de que el debate sobre la seguridad en Mac continuará aumentando, con algunos afirmando que es una plataforma mucho más difícil de atacar comparado con Windows y otros afirmando que es relativamente segura porque es un mercado considerablemente pequeño que hace que sea menos atractivo a los usuarios.
21 Symantec alerta de un nuevo troyano para Mac Parece ser que alguien está distribuyendo en Internet la suite iWork 09 de Apple añadiendo un troyano al instalador. Por Rosalía Arroyo [23-01-2009]
La compañía de seguridad Symantec acaba de alertar sobre un nuevo gusano diseñado específicamente para infectar sistemas Mac. Los creadores de malware se han aprovechado de la popularidad de la suite iWork 09 de Apple para distribuir en intentet una versión añadiendo un troyano al instalador. Según informa Symantec, cuando los desarrolladores de software crean un instalador para el Mac, a menudo varios mini instaladores – o paquetes – se ejecutan en una secuencia determinada. Cada paquete (archivo .pkg) contiene un código específico y un script asegura que el código se coloca en su parte correcta en el disco duro, permitiendo al ordenador utilizar el software. En el caso que nos ocupa, el principal script para instalación fue modificado para que no sólo ejecute los paquetes de software “correctos”, sino que también instala otro paquete, llamado "iWorkServices.pkg," encargado de cargar código malintencionado para conectarse a un sistema remoto que permite al equipo atacante enviar órdenes al equipo infectado para buscar información confidencial en el sistema, realizar un seguimiento de los sitios que visita el usuario en la Web o registrar las teclas pulsadas. Aunque el equipo de Symantec Security Response ha clasificado al troyano OSX.iWork como una amenaza de bajo nivel, las posibilidades de este tipo de ataques pueden ser muy importantes porque, con la crisis económica que padecemos, cada vez más personas pueden verse tentadas a piratear el software en vez de pagar por él. Lo que resulta especialmente exasperante es que, a menos que los usuarios cuenten con algún tipo de software para seguridad, nunca van a saber que su Mac se encuentra en peligro, porque los componentes del iWork parecen funcionar con toda normalidad. El fabricante de seguridad recomienda a los usuarios que tengan cuidado con la procedencia del software, además de aconsejarles que no pirateen. Asímismo sugieren análisis periódicos de los disos duros. Si quiere descargar la versión de pruebas del iWork sin riesgo, utilice el siguiente enlace.
El spam sigue siendo la gran lacra de Internet Un nuevo informe de Sophos desvela que Estados Unidos sigue siendo, un año más, el principal país emisor de spam, mientras España sube al noveno puesto. Por Rosalía Arroyo [26-01-2009] Hace tan sólo cinco años, cuando el spam pasaba de ser una molestia a una verdadera preocupación, Bill Gates, presidente de Microsoft, predijo que el spam sería erradicado en dos años. La predicción falló y actualmente no sólo es un recurso de venta, sino que se ha convertido en fuente de malware y “una gran amenaza”, según la empresa de seguridad Sophos. Los creadores de spam ya no sólo buscan vender más, captar a ese pequeño porcentaje que decide comprar a través del anuncio, sino que se ha convertido en la herramienta perfecta para infectar los ordenadores a a través de sofisticados archivos adjuntos o con enlaces a páginas web infectadas que
22 tienen como fin robar información sensible de los usuarios.
Es más, la evolución del spam, y la creatividad de los spammers, les ha llevado a aprovecharse de las redes sociales, como ya ha quedado demostrado en Facebook y Twitter el último año. En este sentido recordamos los 873 millones de dólares que Facebook ganó en un juicio contra un canadiense que bombardeó a millones de miembros de esta red social con mensajes spam. En su informe, Sophos afirma que entre octubre y diciembre de 2008, USA envió la mayoría del correo basura, en total un 19,8%. China queda en el segundo lugar, superando con creces el spam emitido en 2004, seguido de Rusia. En contraste, otros países como Canadá, Japón y Francia, serios emisores cinco años atrás, han desaparecido de esta lista. España, con el 2,9% del total del spam emitido, sube al 9º puesto, frente al 15º del trimestre anterior, por delante de Reino Unido y Alemania. El spam se prepara para 'felicitar' San Valentín Las empresas de seguridad advierten a los usuarios que los creadores de spam aprovecharán la celebración de San Valentin para intentar infectar los ordenadores. Por Rosalía Arroyo [09-02-2009]
Aunque todavía quedan unos cuantos días para que celebremos 'el día de lo enamorados', los laboratorios McAfee Avert Labs han detectado spam con temática de San Valentín desde el pasado 22 de enero, y están aumentando significativamente desde entonces. Actualmente, McAfee Avert Labs ha detectado que entre el 1% y el 2% del total del correo enviado diariamente es spam con esta temática. “Estoy profundamente enamorado de ti”, “Siempre supe que te quería” y “Me encanta estar contigo” no son sólo mensajes de amor, sino los asuntos que, con más frecuencia, están siendo utilizados por los creadores de spam. Una vez que el receptor recibe el correo electrónico y lo abre, podrá ver un enlace que lleva a un sitio Web que contiene malware. La pantalla muestra al receptor de este correo electrónico una serie de corazones para que elija uno de ellos y haga “clic” en él. Entonces, un archivo binario llamado “meandyou.exe” se descarga e instala en su ordenador. McAfee Avert Labs también ha informado que el día de San Valentín ha vuelto a desartar los spammers, habiéndose superado los niveles de spam anteriores a la caída de McColo. El spam de enero de este año es el 10% del producido a lo largo del último año, y en unos pocos días se ha convertido en el 20% de los niveles de spam existentes anteriores a la caída de McColo. “El spam alcanzó el record en sus niveles el pasado marzo, pero es posible que estas estadísticas vuelvan a batirse, ya que los creadores de este tipo de correo no deseado no cesan en la búsqueda de nuevas formas de engañar a los usuarios de Internet. No hay duda de que aprovecharán cualquier oportunidad para ello”, afirman desde McAfee. Kaspersky endurece la lucha contra el spam La compañía ha desarrollado una tecnología que detecta una imagen de spam sin necesidad de una
23 máquina de reconocimiento. Por Rosalía Arroyo [06-02-2009]
La empresa de seguridad rusa Kaspersky ha anunciado una tecnología que espera que sea decisiva en la lucha contra el spam. La tecnología puede detectar texto incrustado en imágenes sin necesidad de una máquina de reconocimiento que necesita un tamaño, estilo y orden de símbolos homogéneos para detener el correo electrónico no deseado. “Los creadores de spam pueden evitar la detección distorsionando las imágenes”, explica David Emm, consultor de tecnología de Kaspersky Lab. La nueva tecnología, que se ha patentado con éxito en Rusia, se basa en probabilidades y estadísticas. Las imágenes se archivan como Spam después de un análisis en la capa de los patrones de gráficos de palabras y líneas, o un análisis del contenido de las letras y palabras en estos patrones, afirma la compañía. La tecnología puede detectar técnicas de ofuscación utilizadas normalmente por los spammers, como la deformación o la rotación, y puede detectar textos en virtualmente cualquier idioma. Emm ha dicho que “cuando los spammers distorsionan las imágenes y colocan un montón de ruido, hacen que sea más difícil para la máquina de reconocimiento detectarlo”. Encuentran una vulnerabilidad en la beta de Windows 7 Un fallo en Windows 7 Beta podría permitir a un atacante esquivar el componente de Control de Cuentas de Usuario en la nueva versión de Windows. Por Rosalía Arroyo [02-02-2009] El Control de Cuentas de Usuario (UAC por sus siglas en inglés) está diseñado para supervisar un sistema y notificar al usuario si un programa intenta alternar ese sistema. Inicialmente diseñado para impedir infecciones de malware, el software ha sido deshabilitado por muchos usuarios, cansados de los constantes mensajes de advertencia. Para mejorar el software en Windows 7, Microsoft ha establecido nuevas directrices para el Control de Cuentas de Usuario que permiten cambiar los ajustes de Windows, aunque finalmente sí que se necesita una autorización si se altera el sistema. El problema es que el Control de Cuentas de Usuario está controlado a través de los ajustes del sistema por lo que un atacante puede deshabilitar completamente las protecciones sin que el usuario se de cuenta. El fallo, puede solucionarse fácilmente cambiando los ajustes para que el usuario tenga una notificación inmediata si esos ajustes fuerana alterados. Microsoft publica cuatro boletines de seguridad este mes En su ciclo habitual de actualizaciones Microsoft anuncia cuatro boletines que afectan a Internet
24 Explorer, Microsoft Exchange Server, Microsoft SQL Server y Microsoft Office. Por Pablo Molina - Hispasec [10-02-2009]
Si en enero se publicó un sólo boletín de seguridad, este mes Microsoft prevé publicar un total de cuatro actualizaciones el martes 10 de febrero. Dos de ellas, las dedicadas a la versión 7 de Internet Explorer y al servidor Exchange, alcanzan la categoría de críticas, mientras que las otras dos, referentes al servidor de SQL y al software gráfico Visio de Office, están catalogadas como importantes. Adicionalmente, y como viene siendo habitual, Microsoft publica una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se han publicado actualizaciones de alta prioridad no relacionadas con la seguridad. Dada la coincidencia de versiones afectadas, se especula con que el boletín dedicado a SQL Server se encarga de solventar una vulnerabilidad reconocida por Microsoft el pasado 22 de diciembre, y de la que se han detectado exploits circulando por la red. Según se puede apreciar en la descripción de la vulnerabilidad publicada por Bernhard Mueller (SEC Consult) el pasado 12 de diciembre, el fallo estaría causado por un error al comprobar los parámetros en el procedimiento "sp_replwritetovarbin" y podría ser aprovechado para la ejecución remota de código. Un portavoz de Microsoft ha confirmado que la compañía estaba al tanto de la vulnerabilidad desde el pasado mes de abril y el propio Mueller afirma haber recibido una notificación de Microsoft en septiembre informándole de que el parche estaba listo. Como es habitual, cada boletín podrá contener un número indeterminado de correcciones de seguridad y hay que señalar que, en cualquier caso, el adelanto que ofrece Microsoft está sujeto a cambios de última hora. Hispasec Sistemas publicará información detallada sobre los nuevos parches.
25 Mozilla mejora la seguridad de Firefox 3 La compañía anuncia una actualización de su navegador que soluciona algunos problemas de seguridad y mejora la estabilidad de Firefox 3. Por Rosalía Arroyo [04-02-2009]
La versión 3.0.6 de Firefox soluciona hasta seis problemas, el peor de los cuales afecta al motor JavaScript y que los desarrolladores han etiquetado como crítico. La vulnerabilidad, que también afecta al cliente de correo electrónico Mozilla Thunderbird y la suite de Internet SeaMonkey, permitiría a un atacante ejecutar código no autorizado en las máquinas afectadas. La actualización también mejora cómo los comandos escritos, como los incluidos en Adlock plus, trabajan con los plug-ins, según ha explicado Mozilla. La actualización se produce al mismo tiempo de anunciarse que la cuota de mercado de Internet Explorer sigue debilitándose. De cada cien internautas, 67,55 utilizan Internet Explorer para conectarse a Internet, lo que supone el séptimo descenso consecutivo del navegador de Microsoft, que en un año ha perdido hasta un 9%. El gran beneficiado en el último estudio vuelve a ser Firefox, que alcanza ya el 21,53% del mercado mundial.
Los virus se propagan más rápido en zonas WiFi muy pobladas La mayoría de las infecciones causadas se producen en las primeras 48 horas del lanzamiento del software malicioso. Por Manuel Moreno [27-01-2009]
En las redes WiFi, sobre todo en las áreas urbanas más pobladas, es por donde campan más a sus anchas los virus informáticos. Esta es una de las principales conclusiones de una investigación realizada por expertos de la Universidad de Indiana en Bloomington (Estados Unidos), que afirman también que la mayoría de las infecciones provocadas por los virus se producen dentro de las primeras 48 horas desde su lanzamiento al ciberespacio. Para llegar a estas conclusiones, los investigadores de la universidad americana idearon un modelo matemático que demostró que la mayor parte de las personas que se conectan a Internet mediante WiFi son más vulnerables, especialmente en las zonas de población de alta densidad, donde hay más routers inalámbricos "interconectados". Según los Alessandro Vespignani, jefe de la investigación, la mejor forma de estar protegido es lograr un aumetno del porcentaje de reuters inalámbricos con un alto nivel de encriptación y mejorar la selección de la contraseña y la seguridad.
26 Un fallo en navegadores permitiría ejecutar phishing sin necesidad de email Aparece un nuevo ataque de phishing en el que los malos hackean un site legítimo y plantan un código HTML que simula ser una ventana de alerta de seguridad. Por Rosalía Arroyo [14-01-2009]
Encontrado en la mayoría de los ordenadores, un error permitiría a los cibercriminales robar las credenciales de gestión bancaria utilizando un nuevo tipo de ataque denominado ‘phishing in-session’. Al menos eso es lo que afirma la empresa de seguridad Trusteer. El nuevo tipo de ataque ofrece a los hacker una solución al mayor problema al que se enfrentan los phishers actualmente: cómo conseguir víctimas. Un ataque de phishing tradicional se basas en el envío de millones de correos electrónicos que simulan proceder de compañías legítimas como bancos. Muchas veces estos mensajes son bloqueados por programas de filtrado de spam, pero en un ataque phishing in-session, el mensaje de correo electrónico desaparece para ser sustituido por una ventana emergente en el navegador. Para su funcionamiento los malos hackean un site legítimo y plantan un código HTML que simula ser una ventana de alerta de seguridad. La ventana emergente, o pop-up, pediría a la víctima que introdujera la información de usuario y contraseña, y posiblemente otro tipo de información utilizado por los bancos para identificar a sus clientes. Para los atacantes la parte dura sería convencer a sus víctimas de que esa ventana emergente es legítima, pero gracias a un fallo en los motores JavaScript de la mayoría de los navegadores más utilizados, hay una manera de hacer que este tipo de ataque parece más verosímil. Amit Klein, director de tecnología de Trusteer, afirma haber encontrado una manera de identificar si alguien ha accedido a un site a través de una función de JavaScript. Klein no ha querido nombrar la función porque, según él, daría a los criminales una manera de lanzar un ataque, pero lo ha notificado a los fabricantes de navegadores y espera que el fallo se solucione en breve.
Las infecciones en sitios web continuarán aumentando El 70% del malware se encuentra en páginas web o sirve para redirigir al usuario a sites comprometidos, según Websense. Por Rosalía Arroyo [23-01-2009]
Casi tres cuartas partes de los principales 100 sites de Internet incluyen código malicioso o redirigen a los usuarios a sites comprometidos. Al menos eso es lo que se desprende de una nueva investigación realizada por la empresa de seguridad de contenido Websense, que también advierte que el 70% del malware se encuentra en páginas web o sirve para redirigir al usuario a sites comprometidos.
27 Las cifras de este año reflejan un crecimiento del 16% respecto al año pasado en cuanto a la cantidad de sites maliciosos. Los creadores de spam, según la compañía, utilizan cada vez más enlaces que llevan a sites contaminados y campañas de correo electrónico para tentar a los usuarios y evitar los sistemas de seguridad. Websense advierte también que el informe refleja que las cibercriminales se están aprovechando de las ventajas de la Web 2.0 que permite al usuario generar contenido. Por otra parte el informe muestra un crecimiento en el número de amenazas web. Justo el 90% de los correos electrónicos no deseados en circulación en la segunda mitad de 2008 incluían enlaces a sites de spam o sites maliciosos, lo que supone un incremento de caso el seis por ciento.
Conficker, el virus más propagado en enero Conficker utiliza viejas técnicas de engaño y aprovecha vulnerabilidades en los sistemas operativos no actualizados para lograr infectar los equipos de los usuarios. Por Rosalía Arroyo [09-02-2009]
La versión inicial de Conficker aprovechó una vulnerabilidad crítica de Windows, ya corregida por Microsoft, como principal método de propagación, pero las versiones posteriores comenzaron a utilizar otros métodos de infección, tales como los recursos compartidos de los equipos y el archivo autorun.ini de los dispositivos de almacenamiento extraíbles, que dieron nuevas vías de propagación a esta amenaza. Según ESET, Conflicker ha sido el virus más propagado en enero. Durante este mes se ha observado la aparición masiva de instaladores falsos que, simulando instalar una supuesta aplicación, habilitaban la ejecución de códigos maliciosos y apuntaban a estafar a los usuarios infectados. Esta tendencia, se ha visto reforzada con novedosas técnicas de engaño que logran posicionar las páginas web falsas en los buscadores de forma que el usuario caiga en la trampa y resulte infectado y estafado. Según Josep Albors, responsable del departamento técnico de Ontinet.com, distribuidor en exclusiva de las soluciones de seguridad de ESET en España, “si los usuarios tuvieran sus sistemas perfectamente actualizados, Conficker no hubiera tenido ningún éxito. Y más aún, si se tiene instalado un sistema de defensa contra códigos maliciosos, una solución integrada como ESET Smart Security, con avanzados sistemas heurísticos, esta amenaza no hubiera tenido más impacto que cualquiera de los miles de nuevos códigos maliciosos detectados diariamente”.
28 Los phishers se vuelven más astutos El phishing sigue creciendo con sistemas más elaborados y eficaces, con los que consiguen engañar a millones de internautas incautos. Por Rosalía Arroyo [ 20-04-2009 ]
Burdos inicios que han mejorado
Tras las primeras etapas del phishing y en un momento en que las autoridades intentan erradicar estos fraudes online, los delincuentes se vuelven más audaces y buscan nuevas formas de seguir con sus ciberdelitos. La gran mayoría del correo electrónico es spam y un porcentaje desconocido del mismo es fraude. El trabajo a gran escala del fraude electrónico hace que los criminales puedan conseguir enormes beneficios aunque sólo un pequeño porcentaje de los usuarios caigan en sus redes. Normalmente el phishing está relacionado con correos electrónicos falsos supuestamente procedentes de bancos y otras fuentes fiables que tratan de engañar a los destinatarios para que revelen las contraseñas de acceso a sus cuentas y los números de la tarjeta de crédito. El año pasado se consiguió una gran victoria cuando en Estados Unidos se consiguió cerrar la compañía MoCoLo, tras lo cual la cantidad de spam a nivel mundial descendió más de un 60%. Pero los correos de spam no sólo tienen que ver con información bancaria, hay otros que ofrecen dietas milagrosas, cartuchos de tinta para impresora increíblemente económico, reunificación de deudas o alargamiento de miembros... Ahora los creadores de spam utilizan una variedad de ordenadores para enviar spam oscureciendo sus orígenes lo que significa que será raro que se produzca otro cierre similar al de MoCoLo. Además, ya no utilizan trucos tan burdos como el de tentarte con premios de la lotería de países lejanos, sino que se opta por un envío de spam basado en la localización de la víctima, que se ve redireccionada a una página web local en la que se está discutiendo un desastre local o tema atractivo y que puede descargar un virus en el ordenador de la víctima. Curiosamente, los expertos en seguridad no se ponen de acuerdo a la hora de contabilizar el dinero que se está robando pero lo que sí parece cierto es que esta economía sumergida no se está viendo afectada por la crisis, según ha reconocido Luis Fuertes, director de marketing de Symantec.
29 SMiShing, un nuevo tipo de ataque
Lo último en ciberdelincuencia es el SMiShing, ya definido en Wikipedia como un nuevo tipo de delito que utiliza técnicas de ingeniería social empleando mensajes de texto dirigidos a los usuarios de telefonía móvil. Se trata, en definitiva, de una variante del Phishing para teléfonos móviles. Una de las primeras tácticas ha sido la de escribir spam que pretende proceder a una fuente fiable, como PayPal. Cuando esta empresa, que pertenece a eBay, supo que los spammers estaban utilizando su nombre colocó una firma digital en sus correos electrónicos y pidió a los proveedores de correo electrónico online como Yahoo o Google, que bloquearan cualquier correo que bajo su nombre no incluyera esta firma digital. Se calcula que se bloquean unos diez millones de correos al mes y desde Paypal afirma que esto en bueno porque si el usuario no recibe el mensaje es difícil que se convierta en una víctima. El phishing no sólo impacta en los consumidores, en términos de pérdidas generales, sino en la seguridad de Internet y el daño que causa a la marca bajo la cual se esconde el fraude. Los expertos en seguridad afirman que están viendo cada vez más casos de fraude, en el que la víctima entrega su dinero, que de malware, que es software malicioso que, entre otras cosas, recoge número de tarjetas de crédito y contraseñas para los ladrones que posteriormente se venden en el mercado negro. Las personas que compran esta información la utilizan para hacer compras, conseguir dinero en efectivo o crear identidades falsas.
Los sistemas operativos basados en Linux crecen un 23,4% en 2008 • Fecha 28-08-2009 • De Mario Alberto Sánchez
A pesar de que se espera una contracción de sucripciones en 2009, se prevé que se mantengan niveles de crecimiento cercanos al 16,9% anual hasta 2013. Buenas noticias para la comunidad de software basado en el código abierto. Los sistemas operativos Linux crecieron un 23,4% entre 2007 y 2008. Esta tendencia se mantendrá con incrementos del 16,9% anual, según un estudio de IDC.
De confirmarse los pronósticos, este tipo de software alcanzará por primera vez 1.000 millones de dólares en ingresos en 2012, consiguiendo 1.200 en 2013. Mientras tanto, las suscripciones al sistema operativo Linux se contraerán en 2009, aunque se espera que el comportamiento cambie de cara a 2013. A su vez, se prevé que las implementaciones no remuneradas de Linux crezcan más rápido que los nuevos abonados hasta 2013. El total combinado del servidor de suscripciones a este tipo de sistema
30 operativo y el despliegue de las versiones no remuneradas se espera que muestren una tasa compuesta de crecimiento anual (TACC) del 1,1% en el periodo de tiempo comprendido entre 2008-2013, una cifra baja debido a la contracción prevista para 2009.
“La dinámica observada es fascinante. La convergencia de la difícil situación económica, la maduración del software de virtualización de la empresa y el uso cada vez mayor de los despliegues de réplica de los sistemas operativos del servidor Linux está dando lugar a un cambio en el éxito del mercado cada vez más definido por la base instalada más que por el número de suscriptores nuevos o despliegues realizados”, explica Al Gillen, vicepresidente de programas de software de sistemas de IDC.
Otras conclusiones del informe destacan que los mayores ingresos, nuevas suscripciones e importancia en la dinámica global del mercado los consiguen fabricantes como Red Hat y Novell, en términos operativos, con valores que oscilan entre el 43,3% y el 94,5% a nivel mundial.
“Hemos encontrado que más clientes están viendo Linux no remunerado como una solución viable para determinadas necesidades críticas de negocio. Este fenómeno no es exclusivo de Linux ya que la misma tendencia se observa en los entornos operativos de Windows”, concluye Al Gillen.
Los trabajadores son los culpables de la mayoría de ataques a las empresas • Fecha 26-08-2009 • De Mario Alberto Sánchez
Los problemas de seguridad siguen afectando a las empresas. Esta vez lo hacen desde su propia estructura. Los incidentes involuntarios de seguridad de una compañía provocados por sus trabajadores son más frecuentes y dañinos que los ataques internos intencionados, según un estudio de IDC.
“La diversidad de una plantilla provoca que sea su mayor amenaza de seguridad. Independientemente de si el riesgo es intencionado o no, el riesgo es real”, explica Chris Christiansen, program VP, security products de IDC.
El 52% de las organizaciones encuestadas califica sus amenazas internas en seguridad como meros accidentes, mientras que el 19% cree que son intencionadas, el 26% piensa que pueden darse ambos casos y el 3% restante se muestra indeciso. Sin embargo, el 82% no tiene claro si los incidentes en su área de seguridad son accidentales o intencionados.
“La seguridad es responsabilidad de todos no sólo del departamento de seguridad. Se debe adoptar una estrategia integral que mitigue los riesgos internos tanto accidentales como intencionados”, afirma Christopher Young, vicepresidente de RSA.
Este estudio indica también el volumen de incidentes internos que las organizaciones están experimentando. En el último año, los encuestados han reconocido 6.330 incidentes de pérdida de datos
31 involuntaria mediante negligencias de los propios trabajadores, 5.907 ataques de malware/spyware dentro de la empresa y 5.831 incidentes creados por privilegios excesivos y/o derechos de control de accesos.
Los resultados del informe señalan la voluntad de casi 40% de las empresas de aumentar el gasto en iniciativas para reducir los riesgos internos en seguridad en el próximo año mientras que el 6% lo disminuirá.
Twitter continúa siendo vulnerable a los ataques
La seguridad de Twitter sigue en entredicho, a pesar del intento del site de microblogging por paliar todas sus vulnerabilidades. Un desarrollador de software ha advertido que los usuarios siguen estando expuestos a un ataque que podría permitir a un hacker hacerse con sus cuentas.
Este error ha sido descubierto por James Slater quien afirma que la vulnerabilidad permite a un código malicioso JavaScript insertarse en los tweets añadiendo el código a un campo de la API para programadores de Twitter. Al integrar los eslabones de tweets, los desarrolladores pueden dirigir a los usuarios a sus páginas web. o que demuestra esta advertencia es que la API de Twitter no contiene un filtro de URL maliciosas. “Twitter ha cometido uno de los errores más básicos en el desarrollo de aplicaciones web: nunca se puede confiar ciegamente en los datos que proceden del exterior”, explica James Slater.
Aunque Twitter afirmó haber solucionado el problema originado por los ataques que sufrió, la revisión no aborda el verdadero problema. “En unos minutos, alguien con un poco de conocimientos técnicos, puede hacer una aplicación de Twitter y comenzar a enviar tweets, lo que podría permitirle introducirse en la cuenta de cualquier usuario”, afirma James Slater.
Por el momento, el sitio no se ha pronunciado. Hasta el momento, Slater aconseja no admitir a cualquier persona que no se conozca o no sea de absoluta confianza.
32 Los usuarios afectados por malware que roban la identidad repunta en época de crisis económica
33 19/08/2009. (http://www.pandasecurity.com) Según datos registrados por PandaLabs, el número de usuarios afectados por todo tipo de malware encaminado al robo de identidad ha aumentado un 600%, comparado con el mismo período del año 2008. En su mayoría, son troyanos, pero también encontramos numerosos ejemplares de phishing, gusanos, spyware, etc.
Según Luis Corrons, Director Técnico de PandaLabs, “quizá uno de los motivos de este aumento es la crisis económica, junto al gran negocio que supone el vender en el mercado negro datos personales de usuarios, como números de tarjetas de crédito, cuentas de paypal o eBay, etc. Además, hemos notado un gran aumento de los vectores de distribución e infección de este tipo de malware, como las redes sociales.”
A modo de ejemplo, en PandaLabs se reciben diariamente unos 37.000 ejemplares de nuevos virus, gusanos, troyanos y otro tipo de amenazas de Internet. De éstos, el 71% son troyanos, en su mayoría los llamados bancarios o encaminados a conseguir datos de tarjetas de crédito o contraseñas de servicios de banca online, de tiendas, etc. O, lo que es lo mismo, PandaLabs ha recibido de enero a julio de 2009 11 millones nuevos de amenazas, de las cuales casi 8 millones son ejemplares únicos de troyanos. Esta cantidad contrasta claramente con la media de 51% de troyanos nuevos que recibíamos en PandaLabs en el año 2007, por ejemplo.
Además, los hackers han buscado tanto fuentes alternativas de financiación como modos de difusión novedosos. Por ejemplo, cuando antes el malware enfocado al robo de identidad iba dirigido casi exclusivamente a llevar a los usuarios a introducir su login y password en su banco online, ahora intentan engañar a sus víctimas llevándoles a cualquier plataforma o sitio online donde o pueden tener sus datos bancarios almacenados o pueden introducirlos en algún momento.
Este es el caso de grandes crecimientos en ataques phishing especialmente dirigidos a plataformas de pago (tipo Paypal), donde los usuarios suelen tener almacenados sus datos bancarios; tiendas online populares (como Amazon); sitios de subastas online (como eBay), e incluso portales de ONGs donde se solicitan donaciones para proyectos de carácter humanitarios.
Y así como antes el correo electrónico era casi en exclusiva el método para llegar a sus víctimas, ahora utilizan otros métodos igual o más efectivos, como:
- Distribución de mensajes a través de redes sociales con URLs falsas, como Twitter o Facebook - Clonación de páginas web consiguiendo que aparezcan en los primeros resultados de búsqueda por palabras clave en los motores más populares - Envío de mensajes SMS a teléfonos móviles - Infectando el ordenador con spyware que enseñan a los usuarios mensajes alarmantes buscando llevarles a webs falsas (como es el caso de los falsos antivirus)
El uso de mensajes usando ganchos sociales y populares es el toque de gracia que finalmente aplican a sus creaciones para conseguir que los usuarios piquen.
Una vez que se hacen con los datos de tarjetas de crédito o bancarias, pueden realizar dos acciones: bien realizar compras con la numeración, sin que el usuario sea consciente hasta que le llega el cargo al banco; o bien vender en el mercado negro dicha numeración a un precio más que razonable (unos 3 €).
¿Qué pueden hacer los usuarios para no convertirse en víctimas? 34 35 Cuidado con los falsos antivirus
Hace algunos años, podíamos tener nuestra PC a resguardo de las amenazas informáticas instalando un antivirus. Por desgracia, en el último tiempo han crecido la cantidad y variedad de agentes de infección, haciendo más complicada esta tarea.
Esta proliferación de códigos y programas dañinos nos obligan a tener varias aplicaciones para defendernos o un sistema integral que pueda actuar contra la variedad de malware que existe en la actualidad.
A estos factores hay que sumarles la necesidad de tener el sistema al día con las últimas actualizaciones y los programas de protección y detección con las últimas definiciones para lograr mayor seguridad.
Una de las alarmas que se ha encendido en este último tiempo tiene que ver con una nueva modalidad de amenaza: los falsos antivirus y anti-spyware.
Para comprender los peligros a los que estamos expuestos en primer lugar debemos saber a qué nos referimos cuando hablamos de malware.
¿Qué es el malware?
El término malware puede aplicarse a diferentes tipos de amenazas que buscan explotar las vulnerabilidades que tiene un sistema. Dentro de esta categoría se incluyen aplicaciones o códigos que atacan a una computadora y que pueden provenir de un soporte físico, una red o desde Internet. Algunos ejemplos de malware son los virus, los gusanos (worms), los programas adware y los troyanos.
Los virus informáticos son agentes infecciosos que pueden dañar archivos y hacer que el sistema funcione de manera inadecuada.
36 Los gusanos tienen la capacidad de esconderse en la memoria de la computadora y expandirse, colapsando conexiones de red e Internet y haciendo que todo funcione más lento. Aprovechan vulnerabilidades del sistema operativo, por tal motivo es importante contar con las últimas actualizaciones de seguridad.
Los troyanos, cuyo nombre está relacionado con la conocida historia del Caballo de Troya, son intrusos informáticos que se introducen en nuestra computadora y que pueden poner en riesgo la privacidad de nuestra información o permitir que un usuario malintencionado logre el control de algunas características de nuestro sistema de manera remota (por ejemplo a través de Internet).
Los spyware son aplicaciones que “husmean” la información que está en nuestro equipo. En algunos casos lo hacen para obtener direcciones de e-mail, que luego son usadas para enviar publicidad. En otros casos pueden obtener información aún más delicada, que exponen a un riesgo mucho mayor todo lo relacionado con nuestra privacidad. Estos agentes espía, pueden ingresar a la PC por medio de otras aplicaciones o acompañados por troyanos y virus.
El adware es una aplicación que muestra publicidad y que suele acompañar a otros programas. Si bien esto puede hacerse, en algunas oportunidades, bajo el conocimiento del usuario, el problema radica en los casos en los cuales se recoge información sin consultar.
También pueden ser fuente de avisos engañosos. Por lo general los programas adware tiene la capacidad de conectarse a servidores en línea para obtener publicidades y enviar la información obtenida. Cabe aclarar que no toda aplicación que muestra algún tipo de publicidad incluye adware y esto, en muchos casos, se ha transformado en una controversia para determinar cuando un elemento se encuadra dentro de estas características.
¿Qué son los falsos antivirus?
En un momento en el cual la informática se expande a una mayor cantidad de usuarios, también se incrementan los engaños que circulan por Internet.
37 En este último tiempo se ha extendido la modalidad de ofrecer falsos antivirus con el objeto de introducir malware en el equipo del usuario que acepta este engaño, creyendo que está protegiendo su sistema.
Es muy importante conocer la procedencia de una aplicación antes de descargarla e instalarla en nuestra PC. Los ejecutables de fuentes dudosas son una de las vías más comunes de infección.
Dentro de este marco, las cifras demuestran un importante crecimiento del adware en lo que va del presente año. El adware, subió de 22,40% en el segundo trimestre a 31,05% en el tercero, según lo que informa PandaLabs en su boletín (http://www.pandasecurity.com/spain/emailhtml/oxygen/041008_ESP_interior.htm). Esa misma información señala el auge de los falsos antivirus como una de las principales razones por las cuales este problema está tomando mayor impulso.
El engaño que realizan los falsos antivirus se produce cuando realizan una revisión del sistema y localizan infecciones que en realidad no existen. Allí es cuando se ofrece acceder a una versión paga para limpiar el equipo, que no está infectado, al menos de lo que informa el programa falso.
En la actualidad el adware es el código que infecta a una mayor cantidad de computadoras. Lo siguen otras amenazas como troyanos y gusanos informáticos.
¿En qué software puedo confiar?
Ante esta realidad, se nos plantea el dilema de que software son confiables y cuáles no.
A la hora de instalar un programa en nuestra PC es importante optar por software original. Si descargamos una aplicación desde Internet es importante hacerlo desde sitios reconocidos.
38 Luego de la descarga, cuando ejecutamos el archivo .exe para realizar la instalación, Windows nos muestra una ventana de advertencia. Allí podremos ver los datos del archivo y del fabricante.
En cuanto a la seguridad de nuestro equipo, debemos optar por antivirus y centros de seguridad de empresas reconocidas que respalden el funcionamiento del software que brindan y que además ofrezcan actualizaciones periódicas de sus productos para poder estar al día ante las amenazas que circulan.
Las siguientes son aplicaciones o paquetes de aplicaciones para poder resguardar nuestro sistema:
- Panda Antivirus Pro 2009: ofrece protección contra todo tipo de malware (virus, spyware, troyanos, rootkits y bots). Cuenta con protección proactiva y tiene la capacidad de detectar nuevas variantes de malware. Además ofrece protección contra phishing y troyanos que buscan datos de cuentas bancarias. Desde el siguiente enlace se puede comprar u obtener una versión de evaluación del producto: http://www.pandasecurity.com/argentina/homeusers/solutions/antivirus/.
39 - Norton Antivirus: es uno de los más conocidos sistemas antivirus. Protege el sistema de virus, gusanos, software espía, bots y otras amenazas. Permite realizar análisis programados y personalizados. Para más información del producto ingresar a: http://www.symantec.com/es/mx/norton/antivirus.
- ESET NOD32 Antivirus: Es una herramienta para proteger al sistema de una gran variedad de amenazas informáticas. Como ventaja se puede decir que consume pocos recursos del sistema. Este producto cuenta con una versión de evaluación por 30 días que se puede descargar ingresando a: http://www.eset-la.com/download/index.php.
- Microsoft OneCare: es un servicio de protección contra diversas amenazas informáticas, tales como virus y archivos espía. Se puede probar por 90 días accediendo a: http://onecare.live.com/standard/es-es/install/install.htm.
Kaspersky Anti-Virus: brinda protección contra diferentes tipos de malware. Puede realizar verificación sobre archivos, e-mail y trafico de Internet. Además puede hacer verificaciones preventivas y escaneo sobre las vulnerabilidades del sistema operativo y las aplicaciones. Se puede obtener una versión de prueba ingresando a: http://www.kaspersky.com/anti-virus_trial.
40 RogueRemover: es una aplicación que puede buscar programas que estén instalados en la PC y promueven engaños. Es una muy buena opción para quitar del sistema antivirus y antispyware falsos. Se puede obtener una versión gratuita ingresando a: http://www.malwarebytes.org/rogueremover.php.
41 Instituto Tecnológico de Costa Rica Escuela de Ingeniería en Electrónica Programa de Capacitación en Electrónica Programa de Técnicos en Mantenimiento y Reparación de PC's
Curso de Diagnóstico y Virus Instructor: Ing. William Marín Moreno.
Conficker
De Wikipedia, la enciclopedia libre
Conficker, también conocido como Downup, Downandup y Kido, es un gusano informático que apareció en octubre de 2008, que ataca el sistema operativo Microsoft Windows. El gusano explota una vulnerabilidad en el servicio Windows Server usado por Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008, y el beta de Windows 7.
Fue bastante extendida la etimología del nombre del virus como un calambur alemán, ya que "conficker" se pronuncia en alemán como la palabra inglesa "configure" (configuración), y la palabra alemana ficker es un equivalente obsceno de la palabra castellana joder, por lo que conficker sería como programa que estropea la configuración,aunque en un sitio de Microsoft se explica que el nombre proviene de seleccionar partes del un dominio trafficconverter.biz que aparece en su código: trafficconverter.biz =>(fic)(con)(er) => (con)(fic)(+k)(er) => conficker. Operación El virus se propaga a sí mismo principalmente a través de una vulnerabilidad del desbordamiento de búfer del servicio Server de Windows. Usa una solicitud RPC especialmente desarrollada para ejecutar su código en el computador objetivo.[7]
42 Cuando ha infectado un computador, Conficker desactiva varios servicios, como Windows Automatic Update, Windows Security Center, Windows Defender y Windows Error Reporting. Luego se contacta con un servidor, donde recibe instrucciones posteriores sobre propagarse, recolectar información personal o descargar malware adicional en el computador víctima.El gusano también se une a sí mismo a ciertos procesos tales como svchost.exe, explorer.exe y services.exe. Impacto y reacción Recompensa El 13 de febrero de 2009 Microsoft ofreció una recompensa de US$250,000 a quien entregara información que llevara al arresto y encarcelamiento de los criminales tras la creación del virus. Contagio mundial El virus había contagiado el 6% de las computadoras del mundo para marzo de 2009, un 8% en América latina, y en Argentina llegó al 25% de todo el malware propagado durante enero.Sin embargo, y aunque existen variantes que son capaces de crear 50.000 URL falsas para propagarse, el número de contagiados comenzó a decrecer. Investigadores de la Universidad de Michigan comenzaron una investigación en marzo de 2009 para descubrir al caso cero, el primer infectado con el virus, usando sensores darknet, e intentar localizar a sus creadores. El 26 de marzo se anunció un posible ataque masivo para el 1 de abril de 2009, el día de los inocentes estadounidense. Parcheado y eliminación El 15 de octubre de 2008 Microsoft lanzó un parche (MS08-067) que arregla la vulnerabilidad de la que se aprovecha el virus. Existen herramientas de eliminación de Microsoft, ESET,Symantec, Kaspersky Lab, TrendMicro, mientras que McAfee sólo puede eliminarlo a través de un escaneo bajo con glam demanda. Los parches entregados por Microsoft son aplicables a Windows Vista, Windows XP que posea Service Pack 2 ó 3 y para Windows 2000 SP4, pero no ha lanzado parches para versiones anteriores de Service Pack, pues el soporte para estas versiones ha expirado. Dado que puede propagarse a través de memorias USB que activen un Autorun, es recomendable deshabilitar esta característica modificando el Registro de Windows.
Visitar: f-secure.com, secureworks.com, microsoft.com o algunos otros sitios de seguridad. Si obtiene "page cannot be displayed" posiblemente esté infectado.
Aliases • Win32/Conficker.A (CA) • W32.Downadup (Symantec) • W32/Downadup.A (F-Secure) • Conficker.A (Panda) • Net-Worm.Win32.Kido.bt (Kaspersky) • W32/Conficker.worm (McAfee) • Win32.Worm.Downadup.Gen (BitDefender) • Win32:Confi (avast!) • WORM_DOWNAD (Trend Micro) • Worm.Downadup (ClamAV)
43 44 Antivirus
45 46 47 48 49 50 51 52 53 54 55 56 57 58 Instituto Tecnológico de Costa Rica Escuela de Ingeniería En Electrónica. Programa de Técnicos en Mantenimiento y Reparación de PC´s
Curso: Diagnóstico y Virus Instructor: Ing. William Marin Moreno [email protected].
SmitFraud.
ver. 07_08 rev. 11_08 SmitFraud o W32/SmitFraud es un tipo de malware/spyware que se instala en el computador (víctima), con o sin el consentimiento del usuario, utilizando adware (detectado como CWS.YEXE). La mayoría de las veces es instalado por el mismo usuario, al descargar programas ilegítimos utilizando redes p2p (peer-to-peer) como Kazaa, Bittorrent o LimeWire. Otras veces se instala al descargar falsos codecs de audio o video como BrainCodec, PCodec o VideoKeyCodec. También se puede encontrar empotrado en ciertos programas como iVideo o inclusive en archivos de música descargados de p2p (...el que tenga entendimiento, que entienda...). SmitFraud, infecta un DLL de Windows (WININET.DLL) con el virus W32/Smitfraud.A e intercepta todas las llamadas a una función para así registrar las páginas web visitadas por el usuario e instalar un programa sin consentimiento del usuario, y típicamente cambia el fondo de escritorio por la “pantalla azul de la muerte” . La DLL (Librería de Enlace Dinámico) infectada intercepta todas las llamadas a la función HttpSendRequest, con lo que el spyware es capaz de registrar las páginas web visitadas por el usuario y enviar la información a un servidor, así como descargar y ejecutar un archivo que instala un supuesto programa antispyware, de forma oculta y sin consentimiento del usuario. Por otro lado se empezarán a recibir falsas alertas sobre infecciones con virus, que generalmente se muestran con un ícono parecido al símbolo de radio actividad mostrado en la barra de tareas cerca del reloj en la esquina inferior derecha de la pantalla.
59 Al presionar sobre la falsa alerta, aparecerá un falso programa antivirus “sin registrar”, que al ser ejecutado alertará de la presencia de virus en el computador, pero para poder ser eliminados se debe adquirir la licencia del falso antivirus.
Remover Smitfraud Programas como Spybot Search an Destroy y muchos antivirus y antiSpyware detectan el smitfraud pero no lo pueden remover. En otras variantes, los
60 archivos core.sys y core.cache.dsk que se encuentran en la carpeta C:\Windows\System32\Drivers junto con sus correspondientes llaves del registro producen anuncios pop-up haciendo referencia al falso antivirus que los bloqueadores de pop-ups no pueden bloquear, dado que los archivos y llaves de registro mencionados son cargados en RAM mucho antes que finaliza el proceso de arranque. Una herramienta popular para poder remover la amenaza se llama SmitFrauFix1 y permite remover una gran cantidad de variantes del smitfraud, como lo son: AdwarePunisher, AdwareSheriff, AlphaCleaner, AntiSpyCheck, Antispyware Soldier, AntiVermeans, AntiVermins, AntiVerminser, AntiVirGear, AntivirusGolden, AVGold, Awola, BraveSentry, IE Defender, MalwareCrush, MalwareWipe, MalwareWiped, MalwaresWipeds, MalwareWipePro, MalwareWiper, PestCapture, PestTrap, PSGuard, quicknavigate.com, Registry Cleaner, Security iGuard, Smitfraud, SpyAxe, SpyCrush, SpyDown, SpyFalcon, SpyGuard, SpyHeal, SpyHeals, SpyLocked, SpyMarshal, SpySheriff, SpySoldier, Spyware Vanisher, Spyware Soft Stop, SpywareLocked, SpywareQuake, SpywareKnight, SpywareRemover, SpywareSheriff, SpywareStrike, Startsearches.net, TitanShield Antispyware, Trust Cleaner, UpdateSearches.com, Virtual Maid, Virus Heat, Virus Protect, Virus Protect Pro, VirusBlast, VirusBurst, VirusRay, Win32.puper, WinHound, Brain Codec, ChristmasPorn, DirectAccess, DirectVideo, EliteCodec, eMedia Codec, EZVideo, FreeVideo, Gold Codec, HQ Codec, iCodecPack, IECodec, iMediaCodec, Image ActiveX Object, Image Add-on, IntCodec, iVideoCodec, JPEG Encoder, Key Generator, LookForPorn, Media-Codec, MediaCodec, MMediaCodec, MovieCommander, MPCODEC, My Pass Generator, NetProject, Online Image Add-on, Online Video Add-on, PCODEC, Perfect Codec, PowerCodec, PornPass Manager, PornMag Pass, PrivateVideo, QualityCodec, Silver Codec, SearchPorn, SiteEntry, SiteTicket, SoftCodec, strCodec, Super Codec, TrueCodec, VideoAccess, VideoBox, VidCodecs, Video Access ActiveX Object, Video ActiveX Object, Video Add-on, VideoCompressionCodec, VideoKeyCodec, VideosCodec, WinAntiSpyPro, WinMediaCodec, X Password Generator, X Password Manager, ZipCodec...
Nota: debe tenerse mucho cuidado de descargar la utilidad (y en general TODO lo que se descargue de Internet) directamente de la página del autor, caso contrario se corre el riesgo de descargar un fix “infectado” con algún otro tipo de malware.
Práctica
1. Descargue la última versión de SmitFraudFix del enlace que aparece al final de la página. 2. Ejecute la utilidad y luego seleccione la opción #1 para crear un reporte de los archivos infectados (el reporte generalmente se almacena en C:\rapport.txt) 3. Reinicie el PC en "modo seguro" (a prueba de errores) 4. Ejecute nuevamente SmitfraudFix.exe
1 http://siri.geekstogo.com/SmitfraudFix.php
61 5. Seleccione la opción #2 (clean) y espere a que la utilidad elimine los archivos infectados. 6. Se abrirá una ventana con la siguiente pregunta:"Registry cleaning - Do you want to clean the registry?" (¿Desea limpiar el registro?)
Pulse sobre la tecla "Y" (Yes) para confirmar que sí y pulsa ENTER. Puede que durante el proceso el fondo de Escritorio desaparecerá. Esto es normal, ya que durante este proceso se elimina el la pantalla azul de la muerte que sustituye el fondo de escritorio. 7. A continuación se verificará si el archivo wininet.dll se encuentra infectado, y en caso afirmativo se le preguntará que si desea restaurarlo. 8. El computador se reiniciará para terminar el proceso de limpieza. Si no se reiniciara automáticamente, reinícielo manualmente 9. Después de reiniciar, se generará un nuevo archivo "rapport.txt", normalmente en el directorio raíz C:\, que te informará de los archivos y claves del registro relacionados con SmitFraud y variantes que han sido eliminados.
62 10. Opcional: si se desea, se puede seleccionar la opción #3 para restablecer la zona de confianza del explorador de internet.
Referencias: http://www.2-viruses.com/smitfraudfix-tutorial.html http://www.smitfraud.net/ http://www.safer-networking.org/es/spybotsd/index.html http://en.wikipedia.org/wiki/Smitfraud
This document is licensed under the Attribution-NonCommercial-ShareAlike 3.0 Unported license, available at http://creativecommons.org/licenses/by-nc-sa/3.0/.
63 Instituto Tecnológico de Costa Rica Escuela de Ingeniería En Electrónica. Programa de Técnicos en Mantenimiento/Reparación de PC´s
Curso: Diagnóstico y Virus Instructor: Ing. William Marin Moreno Spybot Search and Destroy v09/08_rev11_2008
http://www.infospyware.com/ http://www.safer-networking.org
Las nuevas versiónes de "Spybot Search & Destroy" incorporan numerosos cambios y mejoras en su lucha diaria contra el software espía, algunos de ellos realmente importantes tanto para los usuarios sin conocimientos en informática como para los experimentados.
Primera ejecución La primera vez que inicie Spybot-S&D aparecerá un Asistente, una pequeña ventana que le guiará en sus primeros pasos. Le da la posibilidad de agregar o quitar los iconos que haya podido crear durante la instalación, por ejemplo. Consideremos que está de acuerdo con ello y continúa en la página siguiente. Si usa un servidor proxy con Internet Explorer, Spybot-S&D le indicará la existencia del proxy, y aparecerá también un botón que le dará la oportunidad de usarlo con Spybot-S&D. Si el campo de texto está en blanco, no necesita hacerlo, pero en la mayoría de los casos aparecerá aquí una dirección de internet y deberá importar esta configuración del proxy. La próxima página tiene que ver con las actualizaciones. Es muy importante mantener al día el programa. Los dos botones que aparecen en esta página realizarán las actualizaciones. Si desea hacerlo posteriormente, use la sección Spybot S&D / Actualizar. La última página del asistente le preguntará si desea leer el archivo de ayuda. Parece que ya lo está haciendo :-) Análisis Después de terminar el tutorial, se encontrará en la
64 página Configuración o Spybot S&D. Como las opciones configuración predeterminadas están bien por el momento, olvidémonos de ellas y hagamos el primer análisis. La parte izquierda del programa tiene una barra de navegación que puede llevarle a todas las funciones del programa. La primera sección aquí (el botón superior) se llama Spybot-S&D y le lleva a la página principal. Ahora mismo, verá solamente una lista vacía y una barra de herramientas en la parte inferior. El primer botón en esa barra de herramientas se llama Analizar problemas .
Ese es el botón que debe pulsar para iniciar el análisis. Relájese después de pulsarlo y observe el progreso del análisis.
Interpretación de los resultados
Llegado este punto podría ir directamente al último punto y eliminar los resultados. En lugar de ello, le recomendamos que antes mire con detenimiento todo lo que Spybot-S&D ha detectado. Lo primero que debe saber es distinguir entre las entradas rojas, que representan software espía y problemas similares, y las entradas verdes, que son registros de uso. Para los registros de uso, su eliminación no es crítica, sino que depende de sus preferencias personales. Ignorando los registros de uso, debería observar las entradas rojas que indican los verdaderos problemas. Aunque puede confiar en que hemos elegido estos problemas usando criterios estrictos, puede comprobarlo seleccionando con el ratón cada producto y leyendo la información que verá en el panel derecho (pulsando la pestaña con las flechas).
Decisiones sobre las excepciones Todos los problemas indicados en rojo están considerados como amenazas reales que debería tener en cuenta. Pero mientras lee las descripciones de los productos puede que todavía decida mantener una amenaza o registro de uso. ¿Quizás no desea eliminar la lista de documentos de Word usados recientemente?. Llegado ese momento tiene tres opciones: • Puede decidir ignorar todos los registros de uso. En ese caso deberá abrir la página Módulos en la sección Configuración del programa, y desactivar los Registros de uso . • O, si desea mantener todos los registros de un producto en concreto, simplemente haga clic con el botón derecho en ese producto y agréguelo a la lista de exclusiones. • Finalmente, si desea conservar sólo un archivo, también es posible de la misma manera. Eliminación de las amenazas encontradas
Llegado este momento debería conocer el significado de todo lo que ha encontrado. Es el momento de
65 usar el botón Solucionar problemas. Cuando comience a pensar en eliminar también los registros de uso puede que piense que marcar una por una todas las entradas verdes es muy laborioso. Hay una sencilla razón para ello: forzar a que los principiantes vean todos los resultados. Una vez que ya sabe con seguridad lo que está haciendo, hay un botón oculto para Seleccionar todos los objetos en la página de configuración (sólo cuando se haya iniciado el programa en modo avanzado). Inmunizar el Sistema.
A partir de la versión 1.2, Spybot-S & D le permite inmunizar su ordenador frente a algunos programas espía. En este momento ofrece tres posibilidades de inmunidad:
Inmunidad frente a ActiveX malignos en Internet Explorer
De forma parecida a SpywareBlaster de JavaCools, le permite modificar la configuración interna de Internet Explorer para bloquear la instalación de software espía conocido y otras amenazas similares. Spybot- S&D es capaz de bloquear las entradas de todos ellos que se encuentra en su base de datos. Si quiere bloquear algunos de forma individual debería instalar SpywareBlaster.
Bloqueo de descargas malignas en Internet Explorer
Este es un segundo nivel de protección para IE. Mientras que la Inmunidad frente a ActiveX bloquea los instaladores según su identificador ActiveX, este bloquea cualquiera que pudiese llegar según diferentes aspectos. Puede ver un registro de los instaladores que han sido bloqueados en la sección Herramientas / Residente.
Protecciones adicionales recomendadas
Con cambios muy pequeños recomendados para hacer que su sistema sea un poco más seguro. Bloquear la escritura del archivo de hosts evitará que la mayoría de los modificadores del navegador (incluso los desconocidos) provoquen algún daño. Bloquear el acceso a la configuración de IE evitará que otros usuarios de su ordenador modifiquen sus preferencias.
La novedad en la versión 1.5 de SpyBot es la incorporación del nuevo sistema de inmunización para Mozilla Firefox al igual que mejorada la inmunidad para Opera eh IE-7
66 El archivo de hosts puede describirse como una libreta de direcciones. Aunque el usuario normal accede a otros ordenadores en internet usando nombres (por ejemplo, security.kolla.de), a un más bajo se accede a los ordenadores mediante su dirección numérica. Puede que ya haya visto estas direcciones numéricas. Tiene un formato como por ejemplo 127.0.0.1.
Cada vez que usted intenta acceder a otro ordenador usando su nombre, su ordenador busca su dirección en una libreta de direcciones. En primer lugar busca en la libreta de direcciones local (el archivo de hosts), y sólo si no la encuentra allí la busca en una gran libreta de direcciones en internet.
Así, si desea bloquear un sitio de internet le bastará con redirigir el nombre del sitio hacia Archivo un lugar donde no haya nada. Este lugar podría ser su propio ordenador, por ejemplo. La de hosts dirección mencionada antes 127.0.0.1 es una dirección que siempre señala hacia su propio ordenador local. Agregando una entrada a su archivo de hosts (su libreta de direcciones local) que redireccione un sitio publicitario hacia su ordenador conseguirá engañar a su navegador de forma que crea que el sitio publicitario se encuentra en su propia máquina. Como su ordenador no distribuye anuncios, el navegador no obtendrá el anuncio y, por tanto, no lo mostrará.
Otra uso del archivo de hosts es para acceder a ordenadores que todavía no aparecen en ninguna libreta de direcciones. Por ejemplo, si tiene una red local no encontrará las direcciones de las máquinas de su red en ninguna libreta de direcciones de internet aunque sólo sea por lo caro que resultaría que apareciesen allí. Así que puede añadirlas a su libreta de direcciones local (su archivo de hosts).
Spybot-S&D puede agregar una lista de páginas web conocidas por su mal comportamiento (por ejemplo: instalación de software espía, monitorización de Uso del archivo los usuarios) a su archivo de hosts. Si desea hacerlo, le recomendamos que lea las de hosts en preguntas más frecuentes (FAQ) sobre la solución de posibles ralentizaciones en Spybot-S&D sistemas basados en Windows NT (Windows NT, 2000 y XP). Además, si se diese cuenta de que no puede visitar una web que antes funcionaba, debería comprobar si ese sitio se encuentra en la sección de sitios bloqueados del archivo de hosts.
67 ActiveX es una tecnología de Microsoft que permite aplicaciones de internet que son más potentes que simples scripts. Las aplicaciones ActiveX sólo funcionan con Internet Explorer, por lo que no es recomendable utilizar controles ActiveX en las páginas web. Debido a la gran influencia que pueden tener las aplicaciones Activex en el sistema (las aplicaciones ActiveX tienen acceso a los mismos archivos que usted lo que supone el acceso a todos los archivos en la mayoría de los ordenadores), es recomendable tener mucho cuidado con el uso de Activex.
Active Existen dos tipos de aplicaciones ActiveX: firmadas y sin firmar. El código de las X aplicaciones que no está firmado no ha sido certificado y nunca debería confiarse en él. Las aplicaciones ActiveX firmadas están certificadas, pero aún así ¡pueden contener código maligno! Sólo se debe confiar en las aplicaciones ActiveX cuando procedan de sitios web de confianza y siempre basándose en la confirmación de cada caso (es decir, de forma que la configuración de IE haga que pregunte cada vez que una página web solicite cargar una aplicación ActiveX).
Muchos marcadores telefónicos y modificadores del navegador se instalan a sí mismos usando aplicaciones ActiveX.
Spybot-S&D puede mostrar una lista de las aplicaciones ActiveX instaladas. También tiene una pequeña base de datos integrada que muestra una marca verde delante de las Active aplicaciones ActiveX legítimas y una marca roja delante de las que no lo son. X Esta lista puede ser exportada a un archivo de texto como referencia o para analizarla más en profundidad.
Un applet de Java es capaz de hacer más cosas que las permitidas con Javascript. Sin embargo, no tiene acceso completo a su máquina como lo tiene una aplicación Applet de completa de Java. Java Un applet necesita un navegador en el que ejecutarse, mientras que una aplicación completa de Java puede funcionar por sí misma (usando sólo la máquina virtual de Java (JVM)).
68 Seguramente ya conoce lo que es una clave. Cuando se accede a información privada en un sistema protegido, usted necesita una clave y, en muchos casos, un nombre de usuario para indicar al sistema su identidad.
La mayoría de los conceptos referentes a las claves ya han sido definidos, pero algunos de ellos deben repetirse con frecuencia para no olvidar su importancia en la protección de sus datos.
1. No facilite sus claves a nadie. Si alguien se las pide, diga que no. Simplemente, no hay motivos para que alguien se las pida. Si alguien le dice que es el administrador del sistema y que necesita conocer su clave le estará mintiendo. Clave 2. Cuando elija su clave, no elija algo que otras personas puedan adivinar con facilidad. No s use el nombre de su esposa, su gato, o el nombre de su empresa que tiene escrito en su ordenador o monitor. Aunque lo mejor sería una cadena de caracteres y números elegidos al azar, si necesita algo fácil de recordar, tome partes de palabras que pueda combinar y formar algo que sea fácil de pronunciar pero que no tengan sentido. Y para mejorarla, agregue algunos números a la clave.
3. No escriba su palabra de acceso en ningún papel accesible pegado en su pantalla o en su escritorio de trabajo. Si necesita escribirla para evitar olvidarla, guarde el papel en su cartera, pero nunca cerca de su ordenador.
4. No grabe su clave en un archivo del ordenador. Si no puede recordar todas, escríbalas en un papel. Si realmente es imprescindible guardarlas en un archivo, guárdelo encriptado.
Un cortafuegos es básicamente un tipo de software o hardware que controla las transferencias de datos. El uso típico de un cortafuegos consiste en dar seguridad al acceso de un ordenador o de una red de ordenadores a otra red (que puede ser Internet). Un cortafuegos hardware es simplemente un elemento físico con circuitos electrónicos que se coloca entre la red local y la red remota, y que permite o deniega Cortafuegos ciertas transferencias basándose en unas reglas predefinidas. Un cortafuegos (firewall) software es un programa que se instala en un ordenador y que básicamente hace lo mismo. Tiene la ventaja de que puede establecer reglas basadas en en el software que hace la transferencia de datos, pero tiene el inconveniente de depender de los conocimientos del usuario para su adecuada configuración.
69 Un script de Java es un programa muy pequeño que se ejecuta en su ordenador cuando JavaScrip visita páginas web que tengan definidos ese script. Los scripts de Java tienen un acceso t muy limitado al ordenador, pero pueden modificar el navegador.
Un Proveedor de Servicio por Niveles (conocido en inglés como LSP) es un controlador del sistema que está íntimamente relacionado con los servicios de red de LSP, Windows. Tiene acceso a todos los datos que entran y salen del ordenador, así como la Layered posibilidad de modificar estos datos. Unos cuantos de estos LSPs son necesarios para Service permitir que Windows se conecte a otros ordenadores, incluyendo internet. Sin Provider embargo, el software espía también puede instalarse como un LSP, obteniendo así acceso a toda la información que se transmite. CommonName, New.Net, NewtonKnows y webHancer son algunos de los que actualmente utilizan LSPs.
Spybot-S&D es capaz de mostrar una lista de los controladores de red instalados como Winsock una referencia para los expertos y permite exportar esta lista para posteriores LSPs consultas.
Un modificador del navegador es un pequeño programa o una configuración del registro que provoca cambios en las páginas de inicio y de búsqueda de Internet Modificador Explorer. Si su navegador comienza con una página de inicio diferente (una que del navegador usted no ha cambiado), lo más probable es su navegador haya sido modificado. (browser Los modificadores inteligentes no sólo cambian estas páginas, sino que también hijacker) agregan un pequeño archivo que restaurará las modificaciones cada vez que se reinicie el sistema. Los modificadores del navegador suelen usar programas de instalación ActiveX o agujeros de seguridad del sistema para instalarse.
Registros de uso Los registros de uso son las huellas que usted deja en su sistema. Cada vez que visita una
70 página con su navegador, o al abrir un archivo, esa información se guarda en Windows. En la mayoría de los casos eso es muy útil. Si desea volver a abrir un archivo, puede seleccionarlo de una lista en lugar de tener que volver a escribir el nombre completo del archivo o volver a navegar por la estructura de carpetas.
Pero en algunos casos puede que desee ocultar su actividad ya que el software espía y los posibles atacantes de Internet podrían utilizar esa información. Spybot-Search&Destroy puede eliminar algunas de los más importantes y comunes registros de uso.
71 Descarga e Instalación Obviamente la primera cosa que necesita hacer es descargar Spybot- S&D desde su página de descarga. NO OLVIDE VERIFICAR el md5 de cada archivo antes de proceder a ejecutarlo !!! La página de descarga primero le da un poco de información de cómo realizar una donación; si le gusta el programa, le animo a volver más tarde y donar alguna cosa. Pero ahora mismo lo que quiere es descargarlo. Las descargas están en la misma página, bajando la barra de desplazamiento sólo unas pocas líneas y verá una tabla con tres sitios de descarga. Haciendo clic en uno de ellos, le llevará a una página que le ofrece la descarga. Cada una de esas páginas es un poco diferente, pero debería de ser capaz de encontrar allí el enlace de descarga sin problemas.
El archivo que ha descargado se llamará spybotsd14.exe o similar. Para instalar Spybot-S&D, todo lo que tiene que hacer es ejecutar el archivo y la instalación del programa se iniciará (si lo ha descargado con Internet Explorer, la ventana de diálogo de descarga le dará la opción de abrir el archivo directamente). El instalador le mostrará la licencia de uso y le solicitará una ubicación para la instalación. Puede ir con los valores predeterminados aquí y sólo hacer clic, a su modo, en el botón Siguiente o Next durante el proceso de instalación. Después de que la instalación haya acabado, verá un icono Spybot - Search & Destroy en su escritorio y en su menú de Inicio. Haga clic en él para iniciar Spybot-S&D la primera vez.
Primera ejecución y actualización. La primera vez que inicie Spybot-S&D, le mostrará un Asistente, una pequeña ventana le irá ayudando durante los primeros pasos. Por ejemplo, le dará la posibilidad de añadir o eliminar los iconos que se han o no creado durante la instalación. Sólo le deja decidir si los quiere mantener y pasará a la siguiente página. Si está usando un proxy en Internet Explorer, Spybot-S&D le mostrará este proxy y un botón que la dará la oportunidad de utilizarlo también para Spybot-S&D. Si el campo de texto está vacío no
72 necesitará hacerlo, pero en la mayoría de los casos esto muestra una dirección de internet y debería importar esta configuración del proxy. La siguiente página se ocupa de la actualizaciones. Es muy importante mantenerlo al día. Usando los dos botones que esta página ofrece le hará las actualizaciones, si desea hacerlo más tarde, siga las siguientes imágenes:
La última página del asistente le preguntará si quiere leer el archivo de ayuda. El archivo de ayuda siempre es un buen recurso si duda sobre lo que debería hacer, así que por favor, haga una lectura mínima de las primeras páginas de ésta.
73 74 Realizar un análisis Después de finalizar el tutorial, puede encontrarlo usted mismo en las páginas de Configuración o En línea. Como ahora mismo los valores predeterminados están bien y también ha actualizado, le permitirá ignorarlos por ahora y hacer el primer análisis. En la parte izquierda del programa hay un panel de navegación que puede llevarle a todas las funciones del programa. La primera sección (el botón situado más arriba) está etiquetado como Spybot-S&D y le dirige la página principal. Ahora verá únicamente una lista vacía y una barra de herramientas en la parte inferior. El primer botón en esta barra de herramientas se llama Analizar problemas - que es el botón que tiene que presionar para empezar el análisis. Presiónelo y observará el progreso del análisis
Interpretando los resultados Llegados a este punto, podríamos pasar directamente al punto 7 y eliminar los resultados. Sin embargo, recomendamos que primero dé una ojeada a todas las cosas que Spybot-S&D ha detectado. La primera cosa que debería aprender es a distinguir entre las entradas rojas, que representan al software espía y amenazas similares, y las entradas verdes, que nos indican registros de uso. Los registros de uso son las huellas que usted deja en su sistema. Cada vez que visita una página con su navegador, o al abrir un archivo, esa información se guarda en Windows. En la mayoría de los casos eso es muy útil. Si desea volver a abrir un archivo, puede seleccionarlo de una lista en lugar de tener que volver a escribir el nombre completo del archivo o volver a navegar por la estructura de carpetas. Pero en algunos casos puede que desee ocultar su actividad ya que el software espía y los posibles atacantes de Internet podrían utilizar esa información. Spybot-Search&Destroy puede eliminar algunas de los más importantes y comunes registros de uso.
Para los registros de uso, eliminarlos no es crítico, pero depende de sus preferencias personales.
75 Ignorando los registros de uso por ahora, debería ver las entradas rojas que representan las amenazas reales. Mientras, por supuesto, puedamos confiar en que hemos escogido los objetivos mediante un criterio estricto, si hace clic en cada producto puede analizarlos usted mismo y leer la información del producto que se mostrá en una ventana emergente.
Excepciones Todos los problemas mostrados en rojo están considerados como amenazas reales y debería ocuparse de ellos. Pero mientras lea descripción del producto, aún podría decidir mantenerlas o, únicamente se trata de registros de uso.
¿Quizás no desee eliminar su lista de documentos Word utilizados más recientemente? Llegados a este punto usted tiene tres opciones: • Podría decidir ignorar todos los registros de uso. En ese caso abriría la página de Módulos en la sección del programa Configuración, y deshabilitar las entradas de los Registros de uso. • O si quiere sólo mantener los registros de un producto determinado, únicamente haga clic en el botón derecho del ratón sobre un producto que aparezca en la lista de resultados. • Finalmente, si desea mantener sólo un archivo, es posible hacerlo de la misma forma
Eliminando las amenazas encontradas Ahora debería reconocer cada una de las cosas que ha encontrado. Es hora de usar el botón de Solucionar problemas seleccionados. Una vez haya empezado podría pensar también en la eliminación de los registros de uso, podría creer
76 que encargarse de todas las entradas verdes es un duro trabajo. Esto es así por una simple razón - para ir forzándole, principiante - al mirar los resultados. Una vez conoce con qué está tratando, hay disponible el botón oculto Seleccionar todo para usted.
Criterios para la determinación de Malware
Lo que sigue es una lista de las categorías (usted la habrá visto en la descripción del producto como 'Amenazas'), y cómo los productos se clasifican en estas categorías.
• Adware (Anuncios) Adware es básicamente todo aquel software que visualiza en su pantalla anuncios indiscripinadamente. Como el adware en sí mismo no atentan a su privacidad o seguridad de sus datos, se analizan otros factores adicionales antes de agregar dicho software a la base de datos de Spybot-S&D. Así, puede ser por ejemplo: • Condiciones de Seguridad - Si el presentador de anuncios se instala sin su conocimiento, o sólo se menciona en la página 24 de un acuerdo de licencia muy largo
77 sin indicar una opción para no instalarlo. • Condiciones de Conectividad - Si el presentador de anuncios instala su propio actualizador automático que descarga posteriormente actualizaciones y/o software adicional sin su confirmación o incluso sin su conocimiento. • Condiciones de Permanencia - Si el presentador de anuncios se mantiene residente en memoria, y continuamente le molesta con anuncios, incluso si la aplicación principal que usted instaló no está activa, y no se le advirtió durante la instalación. • Condiciones de Puertas Traseras - Si el presentador de anuncios al ser desinstalado no desinstala también la presentación de anuncios, y el software usa múltiples esquemas de protección para impedirle su desinstalación completa. • BHO Browser helper objects (BHO's) ó Asistentes de Objetivos de Navegadores. Son pequeños programas que amplían las capacidades del Internet Explorer de Microsoft. Todos los BHO's se clasifican así, pero la clasificación como BHO no significa que necesariamente exista un riesgo a menos que sea instalado secretamente, o haga funciones de espía de sus datos en el uso de IE. En este caso, una clasificación adicional lo revelará. La única excepción de un BHO que no es dañino es aquel que no es clasificato adicionalmente como BHO Inestable. Estos últimos, son programas que provocan que el navegador integrado en Internet Explorer se vuelva inestable, causando bloqueos, interrupciones y otros efectos negativos colaterales. • Espía de Navegador Hay dos criterios para clasificar a un software que cambia la página inicial o la página de búsquedas como Espía de navegador: • Cambio Perjudicial - si cambia su configuración sin informarle o pedirle confirmación. • Permanencia - si el software se instala a sí mismo en una forma tal que impide cambiar su nuevamente a su configuración original de la forma originalmente establecida como estandard. • Puerta Trasera - si el software usa aprovechamiento de debilidades de seguridad de su navegador para instalarse por sí mismo sin pedirle confirmación. Todo software que cambie la página de inicio de el Internet Explorer o cualquier otro navegador y/o las páginas de búsquedas sin su conocimiento, o que lo hace sin permitirle una posterior "vuelta atrás" se clasifica como Espía. • Marcador Telefónico Todo software diseñado para iniciar llamadas a números de teléfono de pago especial si no hay una causa seria, usando su hardware marcador, es clasificado como un 'Dialer'. Existen casos en que sólo por visitar páginas pornográficas o de descarga de 'cracks' de programas ocasionan costosas consecuencias al aplicar inadvertidamente marcadores telefónicos inesperados. • Controlador de Pulsaciones de Teclado Estos Controladores son fáciles de clasificar, pues se trata de programas que han sido diseñados para espiar a otras personas. Los anuncios de estos productos indican claramente que este es su propósito en todos los casos. • Software Malicioso Así se clasifica todo software que llega a su máquina con el propósito de hacer daño a el software del usuario, y que no entra dentro de ninguna otra categoría Algunos criterios diferenciales dentro del software malicioso son:
78 • Bloqueo - Es el software que provoca la desactivación de otro software, o incluso lo desinstala. • Borre - Es el software que provoca el borre o destrucción de otro software o datos, como por ejemplo, los Virus. • Conectividad - Es el software que constantemente establece conexión con sitios de internet sin una necesidad real para ello. • Spyware (software espía o espías) 'Spyware' es la peor forma de software de anuncios. Los espías generalmente cumplen los criterios de software de anuncios y adicionalmente, uno o más de los siguientes criterios adicionales: • Seguimiento - observando el tráfico en internet revela que el programa transmite un 'identificador único'(unique ID) asignado a usted o a su computadora para vigilar sus hábitos de uso de software u otros accesos. • Espionaje - el tráfico de internet revela que la información personal, por ejemplo que las URLs y otros datos, incluyendo posibles datos sensibles como los nombres de usuario y las passwords, son transmitidas. • Política Defectuosa - si la Política de Privacidad del producto revela que recolecta información personal, que incluso a veces es vendida a otras empresas. • Política Imperfecta - si la Política de Privacidad del producto sólo revela los pocos datos de información no-personal que serán transmitidos, sin explicitar la exclusión de otra información personal más importante que 'también' pueda ser transmitida. En el caso de la Política Imperfecta, el software se clasifica inicialmente como Posible Espía hasta que otro criterio se confirme. • Troyano Troyano es una clasificación para el software que usa el ocultamiento para instalarse en su sistema, posiblemente con la intención de hacer daño. Usualmente esta clasificación se acompaña con la clasificación adicional de controlador de pulsaciones de teclado, espía o virus, lo cual define con mayor precisión el nivel de riesgo que representa el troyano. • Gusano Se clasifica como gusano al software que usa software local para diseminarse por sí mismo a tantas computadoras como sea posible sin el conocimiento o consentimiento del usuario.
. Programa de Técnicos en Mantenimiento y Reparación de PC´s
Curso: Diagnóstico y Virus
79 Instructor: Ing. William Marin Moreno [email protected]. Tel 550-2120
Práctica de Instalación de Avast Antivirus
v05/08_R09/08 Instalación de Avast Antivirus.
1. ¿Cómo se llama la empresa desarrolladora de Avast Antivirus y cuál es la URL de su sitio web? ______
2. Ingrese a la página del antivirus Avast e investigue: ¿cuál es la última versión ______.
3. Descargue la última versión del antivirus (Home Edition) en español. Mientras lo hace, conteste lo siguiente.
4. ¿En cuáles tipos de archivo comprimidos puede Avast buscar virus (mencione 5) ______,______,______,______,______.
5. ¿En qué consiste la protección estándar residente de Avast? ______.
6. ¿Cuáles protocolos de correo puede Avast monitorear? ______.
7. En qué consiste el módulo de protección P2P e IM de Avast? ______.
8. ¿En qué consiste la protección de Red de Avast? ¿En cuáles sistemas operativos puede ser utilizado? ______
80 ______.
9. ¿En qué consiste la protección de Web de Avast? ¿Con cuales navegadores es compatible? ¿Qué es un proxy? ______. 10. ¿En qué consiste el “Virus Chest” de Avast? ______. 11. Una vez descargado Avast, instálelo y actualícelo. 12. ¿Porqué aparecen DOS íconos en la barra de tareas? ______.
13. En la documentación de Avast se habla de VRDB. ¿qué es y cada cuanto se actualiza? ______.
14. Asegúrese de poseer la última actualización de la base de datos de virus, y ejecute una búsqueda completa de virus en si sistema. Anote los resultados . ______.
This document is licensed under the Attribution-NonCommercial-ShareAlike 3.0 Unported license, available at http://creativecommons.org/licenses/by-nc-sa/3.0/.
81 Instituto Tecnológico de Costa Rica Escuela de Ingeniería En Electrónica. Programa de Técnicos en Mantenimiento y Reparación de PC´s
Curso: Diagnóstico y Virus Instructor: Ing. William Marin Moreno [email protected]. Revisión de infecciones Online.
v05/08_R11_08 Muchas veces un archivo podría estar infectado con un virus o algún otro tipo de malware sin que nuestro anti virus lo detecte, pero el usuario sospecha que podŕia estar infectado. Por otro lado, cada vez es más común la descarga de archivos desde internet que podrían contener algun tipo de malware. Es posible que en el computador que se está utilizando no se cuenta con una herramienta antivirus actualidaza o que se tenga duda de su eficacia. Para estos casos existen ciertas alternativas que nos permiten asegurarnos si el archivo en cuestión está infectado: 1. Utilizar algún tipo de Live-CD con un antivirus: en éste caso se debe descargar una “imagen” de un CD (700MB aproximadamente) o DVD (4,7GB aproximadamente) e iniciar la máquina desde la unidad de CD o DVD para poder ejecutar el antivirus y verificar si el archivo (o el sistema) se encuentra infectado, 2. Utilizar alguna herrameinta online que permita verificar si un archivo espacíficado se encuentra infectado. a. Kaspersky (http://www.kaspersky.com/scanforvirus ) b. Avast: (http://onlinescan.avast.com/ ) c. VirusTotal (http://www.virustotal.com/es/ ) d. BitDefender (http://www.bitdefender.com/scan8/ie.html) e. Symantec(http://security.symantec.com/sscv6/default.asp?langid=ie&venid=sym ) f. Panda_ActiveScan(http://www.pandasecurity.com/homeusers/solutions/activescan/) g. Jottis Malware Scan (http://virusscan.jotti.org/ ) h. F-secure (http://support.f-secure.com/enu/home/ols.shtml ) Debe tenerse mucho cuidado al utilizar herramientas que aparecen en forma de pop-ups ofreciendo antivirus y revisiones gratuitas de su computador mientras se navega por internet, ya que posiblemente termine usted infectando el computador en vez de limpiarlo. Algunas de las herramientas listadas anteriormente, solamente sirven para verificar un archivo a la vez con un solo antivirus en particular; otras permiten revisar un archivo a la vez pero con varios antivirus simultáneamente (útil para comparar diferentes antivirus). Por otro lado, otras permiten revisar completamente el computador, por lo que posiblemente le soliciten que instala algún controlador ActiveX,
82 Práctica 1. Ingrese al sitiio que le indica el instructor, 2. Uno a uno vaya ingresando a los sitios de herramientas antivirus online, y tome nota en la tabla que se encuentra al final, de cada uno si se trata de: a. Herramientas para verificar UN archivo utilizando solamente UN antivirus. b. Herramientas para verificar UN archivo utilizando VARIOS antivirus. c. Herramientas para verificar completamente la integridad de la PC, En caso de que la herramenta la solicite el archivo que desea verificar, utilice los archivos de ejemplo que le brinda el instructor.
Sitio (nombre/empresa de la herramienta) Tipo de herramienta (a,b,c, otro)
Observaciones______
This document is licensed under the Attribution-NonCommercial-ShareAlike 3.0 Unported license, available at http://creativecommons.org/licenses/by-nc-sa/3.0/.
83 Instalación de Microsoft Virtual PC Virtual PC es un software de Microsoft que permite instalar varios sistemas operativos en la misma máquina, sin tener que reiniciar Windows y además de forma segura, puesto que la partición de Windows no se vera afectada. Yo trabajo en Autentia y allí tenemos imágenes (máquinas virtuales de virtual PC , qemu..) de varios entornos de desarrollo ya montados, de manera que si se necesita desarrollar en alguna plataforma específica no instalada en el ordenador no hay que estar perdiendo el tiempo en instalar y configurar (acciones que a veces conllevan más tiempo que el propio desarrollo). Como la máquina virtual se genera en un archivo (realmente son varios contenidos en una carpeta), dichos archivos se pueden luego transferir a otros ordenadores con virtual PC instalado, y la maquina virtual funcionara perfectamente, ahorrando tiempo y costes. Virtual PC es un programa similar a vmware workstation o qemu. Se puede descargar una versión de evaluación de virtual PC aquí. Proceso de instalación
Al comenzar la instalación obtendremos las siguientes pantallas:
Imagen 1: instalación de virtual PC
84 Imagen 2: instalación de virtual PC
El sistema pide la ruta del instalación del programa
85 Imagen 3: instalación de virtual PC
Se introduce el nombre de usuario y clave (la clave viene ya definida dado que es una versión de evaluación)
Imagen 4: instalación de virtual PC
a partir de este momento vamos a configurar nuestro primer equipo virtual. Los pasos son sencillos, pero veremos lo que significa cada uno:
86 Imagen 5: configuración del primer equipo virtual
Imagen 6: configuración del primer equipo virtual
87 En esta pantalla se nos muestran tres opciones:
la primera (por defecto) permite crear un nuevo equipo virtual. La segunda opción crea una maquina virtual con ciertas opciones por defecto, a la que luego habrá que hacer ciertas modificaciones. La tercera opción permite crear una máquina virtual que ya existe en el disco duro (por ejemplo una que nos ha pasado alguien con un entorno ya configurado).
Elegimos la primera opción puesto que vamos a crear una nueva maquina virtual paso a paso.
Imagen 7: configuración del primer equipo virtual
Le damos un nombre a la máquina virtual, y si lo deseamos, elegimos una nueva ruta donde queremos guardar los ficheros que genera (por defecto los guarda en la carpeta mis documentos). pulsamos siguiente y seguimos el proceso.
88 Imagen 8: configuración del primer equipo virtual
seleccionamos el sistema operativo que vamos a instalar. En este tutorial vamos a instalar Windows 2003 Server, aunque como se puede ver hay gran cantidad de sistemas posibles para instalar. Por tanto seleccionamos Windows 2003 Server y continuamos.
89 Imagen 9: configuración del primer equipo virtual
ahora el asistente nos pide la memoria ram que queremos asignar a nuestra máquina. Se aconseja dejar la que el asistente indique. si deseas cambiar la memoria asignada ten en cuenta dos cosas: si asignas muy poca memoria, el sistema operativo que instales puede funcionar mal, o incluso no hacerlo; si eliges demasiada memoria el rendimiento general de tu máquina disminuirá, puesto que la memoria ram que se asigna es parte de la memoria ram física de tu sistema. Usamos la cantidad recomendada y continuamos.
90 Imagen 10: configuración del primer equipo virtual
en este paso creamos un disco duro virtual: tenemos dos opciones: crear un nuevo disco duro, o utilizar uno existente (por ejemplo uno que creo otra persona con ciertos programas, o datos). Hay que tener en cuenta una cosa: se pueden crear hasta 3 discos duros virtuales, y en este primer disco duro virtual se va a instalar el sistema operativo, así que para que la maquina virtual arranque correctamente si agregamos un disco duro virtual existente, éste debe contener un sistema operativo. Elegiremos la opción de crear un nuevo disco duro virtual y continuamos.
91 Imagen 11: configuración del primer equipo virtual elegimos la ruta donde guardar el archivo del disco duro virtual y pulsamos siguiente
92 Imagen 12: configuración del primer equipo virtual
Proceso de configuración
¡Ya tenemos el equipo virtual creado!. Pulsamos sobre finalizar y aparecerá la siguiente pantalla: (si no pareciera automáticamente ir a inicio-->todos los programas-->Microsoft virtual PC)
Imagen 13: ejecución del equipo virtual
mediante esta ventana podemos crear, configurar o eliminar equipos virtuales. Pulsando en el botón
93 nuevo se repetiría todo el proceso anterior para crear un nuevo equipo virtual (podemos crear tantos como queramos). Sin embargo nosotros pulsaremos sobre configuración para ver las opciones que tenemos para personalizar el equipo virtual que hayamos seleccionado.
Imagen 14: configuración del sistema
Fijémonos antes de nada en la ventana de propiedades. a la izquierda tenemos todas las propiedades del sistema que podemos modificar, y a la derecha irán apareciendo los valores correspondientes a cada propiedad. La primera propiedad que vemos es el nombre de archivo, que en esencia es el nombre que le damos a nuestra maquina virtual , que podemos cambiar o dejarla al valor que pusimos inicialmente.
94 Imagen 15: configuración del sistema
En memoria podemos cambiar el tamaño de la memoria ram del PC virtual. Como ya comentamos anteriormente, hay que tener cuidado al elegir el valor, pues virtual PC tomara de la ram física de nuestro PC el tamaño que le demos a la ram del equipo virtual. cambia el valor sólo si estas seguro de lo que haces.
95 Imagen 16: configuración del sistema
Desde aquí podemos elegir el archivo del primer disco duro para nuestro sistema, o crear uno nuevo mediante el asistente pulsando sobre 'Asistente para disco virtual'.
Imagen 17: configuración del sistema
96 Como se puede observar nuestro sistema puede tener hasta tres discos duros virtuales, que seleccionaremos mediante este y el siguiente menu. Podemos elegir un archivo de disco duro existente, o crear uno nuevo.
Imagen 18: configuración del sistema
Esta opción, discos para deshacer, es muy interesante, ya que nos permite realizar operaciones dentro del sistema operativo (como instalar aplicaciones, ejecutar programas con riesgos de infeccion viral..) y al final, decirle que no guarde los cambios, de manera que en el siguiente inicio de la máquina virtual, ésta se encuentra en el estado inicial. También permite guardar los cambios hasta el siguiente inicio de sesión (con posibilidad de deshacer estos cambios), o guardarlos definitivamente. Ten en cuenta que activar esta opción aumentara el tamaño del archivo de disco duro de la maquina virtual.
97 Imagen 19: configuración del sistema
Esta opción simulará que la unidad de cd o dvd esta conectada en el ide secundario. La mayoría de sistemas operativos aceptan esto sin problemas, pero en caso contrario se puede desactivar.
Imagen 20: configuración del sistema
activando esta opción se permite que le sistema operativo instalado en la máquina virtual detecte automáticamente la existencia de un disquete.
98 Imagen 21: configuración del sistema
Si necesitáramos tener un puerto serie para la máquina virtual (para conectar un módem o algún dispositivo en este puerto) se debe especificar aquí. Se puede seleccionar el puerto físico COM1 de nuestro PC, una canalización con nombre (que realmente es como un pipe de unix) o un archivo de texto que simulará la entrada y salida de datos del puerto. Lo mismo sucede con COM2
Imagen 22: configuración del sistema
Desde aquí seleccionamos si existe puerto LPT1 (puerto de impresora o periféricos que usen el puerto
99 paralelo). Si quieres imprimir desde la maquina virtual, y tu impresora utliza el puerto paralelo, debes activar esta opción.
Imagen 23: configuración del sistema
Mediante este menú elegimos las interfaces de red que queremos que tenga la maquina virtual (físicas), o seleccionar 'Local solamente', que conectaría la maquina virtual a nuestra red.
100 Imagen 24: configuración del sistema
aquí puedes activar el sonido o desactivarlo. desactívalo si tienes problemas con el software que vas a instalar en la maquina virtual.
Imagen 25: configuración del sistema
La integración de puntero permite cambiar el puntero del raton entre la ventana del equipo virtual, y nuestro escritorio, de manera que para pasar de Uno a otro no hay que presionar ninguna combinación especial de teclas. Ésta opción solo estará disponible cuando en el sistema virtual se instalen unos drivers especiales llamados Virtual Machine Additions.
101 Imagen 26: configuración del sistema
Desde aquí podremos indicar que carpetas compartidas a la red de Windows tendrá el sistema virtual (no hace falta que esté conectado físicamente ala red local). Esto es muy útil para transferir datos entre nuestro PC y la máquina virtual.
102 Imagen 27: configuración del sistema
Este menú permite configurar varias opciones de pantalla. Como en el caso del ratón, algunas opciones sólo estarán disponibles tras instalar las Virtual Machine Additions
Imagen 27: configuración del sistema
Desde aquí podemos seleccionar diferentes opciones para cerrar la maquina virtual.
Bien, pues después de todo esto, ya tenemos instalado y configurada la máquina virtual.
Como ya se comento, algunas de las propiedades anteriores necesitan de las Virtual Machine Additions,
103 unos drivers especiales para la máquina virtual. Dichos drivers solo se pueden instalar cuando exista en la misma un sistema operativo instalado. Procedamos pues a realizar la instalación de un sistema operativo, que para este tutorial será Windows 2003 Server:
Instalación de Windows 2003 Server
Acto seguido instalaremos Windows 2003 Server en la maquina virtual que hemos creado anteriormente. Ejecuta la maquina virtual (Inicio->todos los programas->Microsoft virtual PC). Selecciona la maquina virtual que hemos creado (como en la imagen 13) y pulsa iniciar. Verás que la maquina virtual arranca como si un ordenador normal se tratase. Tenemos dos opciones para instalar Windows 2003; una es si lo tenemos grabado en cd, pues se introduce en la unidad de cd y la maquina virtual arrancara desde el cd, como cualquier PC que tenga habilitada esta opción. La otra es si tenemos un archivo ISO con la imagen de Windows 2003. En este caso no es necesario grabarla a formato físico, dado que virtual PC permite cargar una imagen iso como si de una unidad de cd se tratase. en la ventana de la mauina virtual arrancada, en la barra de menú, verás uno que se llama CD, y dentro de él una opción que es capturar imagen de ISO. Seleccionariamos esta opción y escogemos el archivo ISO que queremos utilizar.
El sistema de instalación de Windows 2003 comenzará:
Imagen 28: Inicio de la instalación de Windows 2003
Y el resto de la instalación se realiza como si en un ordenador físico se realizara, pero con la ventaja de que no perderemos ningún dato en caso de que la instalación sea fallida o halla algún problema. Aquí os
104 dejo el resto de capturas para que os hagáis una idea.
Imagen 29: instalación de Windows 2003
105 Imagen 30: Fin de la instalación de Windows 2003
¡Y ya está! ya tenemos instalado Windows 2003 Server en nuestra máquina, y ya podemos investigar este sistema operativo de Microsoft. Incluso podemos crear servidores en Windows 2003 y poder acceder a ellos desde fuera de la máquina virtual, daod que, si os acordais en la configuración de la red, especificábamos que tarjeta física de nuestro ordenador utilizaría. Solo tienes que configurar la conexión a Internet desde dentro del Windows 2003 y podrás navegar por internet dentro de la máquina virtual. ¡Una gozada!.
Documento original de:
Germán Jiménez Centeno, Ingeniero en Informática ([email protected])
Programador en Autentia
Autentia Real Business Solutions S.L. (www.autentia.com)
106 Instituto Tecnológico de Costa Rica Escuela de Ingeniería en Electrónica Programa de Capacitación en Electrónica Programa de Técnicos en Mantenimiento y Reparación de PC's
Curso de Diagnóstico y Virus Instructor: Ing. William Marín Moreno.
Deshabilitar auto-ejecución de medios de almacenamiento extraíbles.
Una buena parte de los virus hacen uso de características propias de Windows, para hacer de las suyas. Una de esas características es la ejecución del archivo autorun.inf en medios de almacenamiento removibles ( DVD, CD o memorias USB). La mayor parte de bloqueadores de autorun.inf utilizan una variable policies que evita la autoejecución en determinados dispositivos. Pero en el momento en el que uno abre descuidadamente el dispositivo, de todas maneras se ejecuta el archivo autorun.inf, con el consiguiente virus infectado del dispositivo. Estos métodos a continuación deshabilitan permanente y totalmente la capacidad de auto-ejecución de autorun.inf .
Método 1
Instrucciones: 1. Menú Inicio > Ejecutar 2. Escribir: gpedit.msc y pulsar "intro" 3. En el arbol de la izquierda, seguir laruta: Directiva de equipo local > Configuración del equipo > Plantillas administrativas > Sistema
4. Y en la ventana de la derecha, bajar hasta "Desactivar reproducción automática" (doble click) 5. Seleccionar en "Habilitar", y elegir la opción: Desactivar reproducción automática en: Todas las unidades. Ver imagen en la página siguiente
107 Método 2
REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\Aut orun.inf] @="@SYS:DoesNotExist"
1. Copiar lo anterior en el notepad y guardar como “deshabilita.reg” 2. Re-iniciar o remover la llave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
108 Método 3
Procedimiento: 1. Inicio -> Ejecutar -> regedit. 2. Buscar la siguiente clave del registro: Windows XP: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 Windows 2000: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints
3. Con el botón secundario del ratón, editar los PERMISOS de dicha clave. 4. Denegar el “control total” para todos los usuarios, incluyendo SYSTEM, nombre de PC, etc. (ver imagen en página siguiente)
109 Aun cuando alguien tenga virus en un dispositivo como una memoria USB, de los virus que funcionan como autorun, este virus no será ejecutado. Dando tiempo al antivirus de escanear el dispositivo externo hasta su desinfección.
110 Instituto Tecnológico de Costa Rica Escuela de Ingeniería En Electrónica. Programa de Técnicos en Mantenimiento y Reparación de PC´s
Curso: Diagnóstico y Virus Instructor: Ing. William Marin Moreno [email protected]. Tel 550-2120
Firewall personal. ver.0708 rev.0708 Un firewall personal (conocido como pared de fuego o cortafuegos) es una aplicación que controla el tráfico de datos que entra y sale del computador através de la red. El término personal hace referencia al usuario final, por lo que un firewall personal solamente ayuda a proteger el computador en el que está instalado.
Muchos firewalls son capaces de controlar el tráfico de red preguntándole al usuario cada vez que algún programa intenta una conexión, adaptando las políticas de seguridad conforme a los deseos del usuario; pero algunos firewalls también brindan cierto nivel de detección de intrusiones, permitiendo
111 finalizar o bloquear la conectividad si se sospecha un intento de intrusión en el sistema.
Características Generales de un Firewall
• Alertar al usuario sobre intentos de conexiones salientes. • Permitir que el usuario controle cuáles programas pueden utilizar la red local y/o Internet. • Esconder el computador de escaneadores de puertos TCP/UDP abiertos. • Supervisar (“monitorear”) las aplicaciones que están a la escucha de conexiones entrantes • Supervisar y regular todo el tráfico entrante y saliente desde y hacia Internet. • Evitar tráfico de red indeseado de aplicaciones instaladas localmente. • Informar al usuario de las aplicaciones que realicen intentos de conexión. • Informar al usuario acerca del destino final con el que una aplicación intenta comunicarse.
Problemas y limitaciones de los firewalls personales.
● En lugar de reducir la cantidad de servicios de red, un firewall personal es un servicio adicional que utiliza (consume) recursos del sistema y que además puede ser objeto de ataques2. • Si el sistema ha sido comprometido por algún tipo de Malware o Spyware, dichos programas podrían manipular el firewall dado que ambos programas residen en el mismo sistema, por lo que podría burlarse la protección del firewall e inclusive desactivarlo completamente. • El alto número de alertas que se generan al inicio (recién instalado) puede causar que el usuario pierda “sensibilidad” ante futuras alertas, e inclusive que el usuario deniegue el servicio a aplicaciones que no necesariamente son maliciosas. (por ejemplo.solicitudes ICMP). • Firewalls por software que interactúen directamente con el kernel del sistema operativo (conocido en programación como modo kernel o modo supervisor) podrían potencialmente causar inestabilidad en el sistema e inclusive introducir problemas extra de seguridad. • Un firewall no puede proteger contra aquellos ataques cuyo tráfico no pase a través de él. • El firewall no puede proteger de las amenazas a las que está sometido por ataques internos o usuarios negligentes. El firewall no puede prohibir a espías corporativos copiar datos sensibles
2Por ejemplo, el Gusano Witty fué diseñado para atacar firewalls (http://www.caida.org/research/security/witty)
112 en medios físicos de almacenamiento (diskettes, memorias, etc) y sustraigan éstas del edificio. • El firewall no puede proteger contra los ataques de Ingeniería social (práctica de obtener información confidencial a través de la manipulación de usuarios legítimos.3)
• El firewall no protege de los fallos de seguridad de los servicios y protocolos de los cuales se permita el tráfico. Hay que configurar correctamente y cuidar la seguridad de los servicios que se publiquen a Internet.
Programas: A continuación se muestra una tabla de comparación de varios productos comerciales y gratuitos, el reporte completo para cada uno lo puede encontrar en4. Las herramientas utilizadas para probar los firewall se pueden encontrar en www.firewallleaktester.com o en http://www.matousec.com/projects/security-software-testing-suite/ Nive Producto Score Nivel de Protección alcanzadol Outpost Firewall Pro 2009 99% 10 excelente 6.5.2355.316.0597 / 73
Online Armor Personal Firewall 2.1.0.131 98% / 73 10 excelente
Comodo Firewall Pro 3.0.22.349FREE 95% / 73 10+ excelente
ProSecurity 1.43 93% / 62 10 excelente Online Armor Personal Firewall 2.1.0.131 89% 10 muy bueno FreeFREE / 73
Kaspersky Internet Security 7.0.1.325 85% / 62 10 muy bueno
Jetico Personal Firewall 2.0.2.4.2264 78% / 73 7 bueno
System Safety Monitor 2.3.0.612 77% / 62 7 bueno
Lavasoft Personal Firewall 3.0.2293.8822 70% / 73 7 bueno
Privatefirewall 6.0.11.30 65% / 62 7 pobre
ZoneAlarm Pro 7.0.473.000 63% / 73 7 pobre
Webroot Desktop Firewall 5.5.10.20FREE 60% / 73 7 pobre
Norton Internet Security 2008 15.5.0.23 32% / 62 4 muy pobre Trend Micro Internet Security 2008 27% 4 ninguno 16.10.0.1106 / 73
3 "los usuarios son el eslabón débil". Un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, pretendiendo, por ejemplo, ser un empleado de algún banco solicitando información ( aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones,-por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco- en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos) 4 http://www.matousec.com/projects/firewall-challenge/results.php
113 Nive Producto Score Nivel de Protección alcanzadol
G DATA InternetSecurity 2008 19% / 73 3 ninguno
Sunbelt Personal Firewall 4.5.916 18% / 62 3 ninguno FortKnox Personal Firewall 2008 16% 2 ninguno 3.0.195.0 / 62
Look 'n' Stop 2.06 15% / 62 2 ninguno
F-Secure Internet Security 2008 8.00.101 12% / 73 2 ninguno
Panda Internet Security 2008 12.01.00 12% / 73 2 ninguno
Avira Premium Security Suite 8.1.00.206 11% / 70 2 ninguno
AVG Internet Security 8.0.93 6% / 62 1 ninguno
PC Tools Firewall Plus 3.0.1.9FREE 6% / 62 1 ninguno McAfee Internet Security Suite 2008 6% 1 ninguno 9.1.108 / 70
Ashampoo FireWall FREE 1.20FREE 5% / 73 1 ninguno
ESET Smart Security 3.0.621.0 5% / 62 1 ninguno
Rising Personal Firewall 2007 19.66.0.0 5% / 62 1 ninguno
Windows Live OneCare 2.0.2500.22 5% / 62 1 ninguno BitDefender Internet Security 2008 4% 1 ninguno 11.0.16 / 70
BullGuard Internet Security 8.0.0.13 4% / 70 1 ninguno iolo Personal Firewall 1.5.2.7 3% / 62 1 ninguno Filseclab Personal Firewall 3% 1 ninguno 3.0.3.8982FREE / 73
Steganos Internet Security 2008 7.5.509 3% / 70 1 ninguno
114 Práctica
1. Ingrese al panel de control y asegúrese de desactivar el Firewall de Windows.
2. Ingrese a www.grc.com 3. Presione SHIELDS UP! 4. Leak test es una pequeña utilidad que intenta conectarse (conexión saliente) desde su computador al servidor grc.com, tan sencillo como eso. Su utilidad radica en el hecho de que permite determinar el nivel de control que tiene el firewall sobre las conexiones salientes del computador y su capacidad de filtrado. 5. Para probar si un firewall puede ser penetrado, al ejecutar Leak Test, si usted tiene un firewall instalado y éste pregunta si desea permitirle el acceso a internet e le aplicación debe responder NO. 6. Busque el enlace “Leak Test” , descarguelo y ejecútelo.
Anote el resultado del Test:______.
7. Active nuevamente el Firewall de Windows en el panel de control. 8. Ejecute nuevamente el Leak Test. ¿Cuál fué el resultado ésta vez?. ¿Lo proteje el Firewall de
115 Windows ante este tipo de vulnerabilidades? ______.
9. Desactive nuevamente el Firewall de Windows. 10. Encuentre la dirección IP de su PC y anótela______. 11. Pídale a otro grupo que haga “ping” a la dirección IP de su computador y anote el resultado:______. 12. Active nuevamente el Firewall de Windows. 13. Pídale al otro grupo que nuevamente haga “ping” a la dirección IP de su computador.¿ Qué efecto tiene el Firewall de Windows ante las solicitudes ICMP? 14. Desactive nuevamente el Firewall de Windows. 15. Ingrese a www.zonealarm.com. (Para minimizar el tiempo de descarga, DESCARGUELO del sitio del curso, en el menú ANTIVIRUS) 16. Descargue e instale ZoneAlarm GRATUITO. Pídale al instructor que le muestre el video de ayuda si todavía no lo ha hecho. 7. Ingrese NUEVAMENTE a www.grc.com y ejecute nuevamente el LeakTest. Recuerde que al utilizarlo, si el ZoneAlarm le indica que LeakTest está intentando conectarse a internet usted debe indicarle que NO (denegar). Resultado:______8. Repita nuevamente los pasos 10 y 11. Anote el resultado______.
RESUMA SUS PRINCIPALES CONCLUSIONES: ______
116 ______.
117 Instituto Tecnológico de Costa Rica Escuela de Ingeniería En Electrónica. Programa de Técnicos en Mantenimiento y Reparación de PC´s
Curso: Diagnóstico y Virus Instructor: Ing. William Marin Moreno [email protected]. Tel 550-2120
Práctica: Troyano Netbus Cuide de no iniciar la práctica hasta haber leído completamente el instructivo, en caso de dudas consulte a su profesor.
NetBus o Netbus es un programa para controlar remotamente un computador a través de la red. (backdoor).
Netbus posee dos componentes, ya que está diseñado para actuar como una aplicación cliente-servidor. El componente “server” es el que se instalará en el computador de la “víctima”, y puede ser instalado localmente, enviarse por correo electrónico, o auto-ejecutarse desde un medio de almacenamiento externo, como un disco compacto o una memoria flash usb (la mal llamada “llave maya”).
El componente cliente lo ejecuta el “atacante”, y le brinda la posibilidad de controlar remotamente el servidor, además de:
1. Ver lo que el usuario digita.
2. Insertar texto no deseado en lo que el usuario digita.
3. Captura de la pantalla remota.
4. Apagar el sistema remoto.
5. Ejecutar programas. Ejecutar sonidos, etc.
Generalmente el servidor abrirá el puerto 12346 de TCP/UDP esperando conexiones. Además inserta una llave en el registro de Windows (ver adelante) para ejecutarse cada vez que el sistema operativo se inicia.
\HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows\CurrentVersion\Run" normalmente con la opción "/nomsg".
118 1. A continuación se demostrarán las habilidades de los virus tipo troyano. Investigue antes en Internet el puerto TCP/UDP comunmente utilizado por el troyano conocido como NETBUS.______.
2.. Abra el archivo de Winzip que le brinda el profesor, NO EJECUTE O ABRA NINGUNO DE LOS ARCHIVOS QUE CONTIENE HASTA QUE SE LE INDIQUE HACERLO. Extraiga ambos archivos en el escritorio de su PC. NO ejecute ninguno de ellos!!!! Anote a continuación el nombre de los archivos y haga un dibujo del ícono que los representa:
Nombre / extensión del archivo Ícono
3. Verifique los puertos TCP/UDP que su PC tiene abiertos y anótelos. ______.
Presione CTRL-ALT_DELETE y en el administrador de tareas verifique la lista de procesos que actualmente se están ejecutando en su PC (puede utilizar PRCVIEW si lo desea, pregunte a su profesor). Anotelos!!! ______.
Ejecute el archivo “CLIENTE”, debe abrirse un programa como el que aparece en la página siguiente
4.Puede deducir el funcionamiento de algunos de los botones que aparecen?, anote un par de ejemplos a continuación:
______.
119 5. A continuación debe trabajar en conjunto con el equipo que se encuentre a su lado, pídale a sus integrantes que ejecuten el archivo “SERVER” y detalle lo que ocurre al ejecutarlo: ______. ¿Cuáles puertos TCP/UDP nuevos se abrieron ahora? Compárelos con los que anotó antes:______.
Abra el editor del registro de windows (regedit) y busque la llave donde se establece que el servidor se ejecute automáticamente cuando Windows inicia. ______.
6. Presione la combinación de teclas CTRL-ALT-SUPR y busque en el administrador de tareas si se encuentra la aplicación “server” corriendo en su PC (o la del otro equipo).______.
7. Pídale al otro equipo que le indique la dirección IP de la PC que utilizan y anótela:______.
8. Pídale al otro equipo que revise cuáles puertos TCP / UDP tiene abiertos en la PC y anótelos:______.
9. Introduzca la dirección IP de sus compañeros en la casilla Hostname / IP de la consola de Netbus y luego presione Connect!. Qué indica el programa en la esquina inferior izquierda?:______.
120 10. A jugar !!!. Manipule la PC de sus compañeros y anote lo que puede hacer con ésta utilidad, no olvide utilizar el PORT SCANNER de Netbus (pida ayuda a su profesor.). Anote las cosas que pudo hacer y su opinión sobre la “peligrosidad” de éste tipo de programas.
______.
Comandos disponibles:
Host name /IP: aquí deberás digitar la dirección IP de la víctima y luego presionar Connect !. Server admin: Aquí se puede cambier el puerto TCP en el que se instala es servidor o protegerlo con contraseña. Open CD-Rom: abre el CD-ROM. Show image: te permite mostrarle una imágen en formato JPG a la víctima. Swap mouse: intercambia los botones del ratón. Start program: ejecutar un programa. Msg manager: enviar mensajes de error de Windows a la víctima. Screendump: captura lo que está en pantalla de la víctima y lo envia en formato JPG. Get info: información sobre el login del servidor. Play sound: ejecutar cualquier archivo de sonido que este en formato WAV. Exit Windows: cierra Windows, por lo que desconecta al usuario. Send text:enviar texto Active winds: te muestra los programas que se estan ejecutando en el computador víctima. Mouse pos: permite cambiar la posición del puntero del ratón. Listen: muestra lo que la otra persona está tecleando. Sound System: graba el sonido mediante el micrófono y lo envia en formato WAV. Server setup: permite ponerle un password al servidor de esta forma sólo puede introducirse en la máquina el que conozca dicho password. Incluso no avisa por e-mail cuando la víctima está conectada. Control mouse: maneja el puntero del mouse.
121 Go to URL: se ejecuta el navegador y abre la página que le hemos especificado. Key manager: desactiva las teclas del teclado que se le indique. File manager: muestra el contenido del disco duro víctima y permite subir o bajar archivos e incluso borrarlos.
Remover el servidor
Ingresar al editor del registro Ir a HKEY_CURRENT_USER - Software - Microsoft - Windows - CurrentVersion - Run Alli estará el Troyano !! con extensión .exe y al final del mismo pondrá "/nomsg"(sin las comillas). , puede que se encuentre además en: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Anote el nombre del archivo y el directorio donde se encuentra; ahora lo único que se debe hacer es borrarlo. El último paso que queda es ir al directorio donde se encuentra el servidor y borrarlo definitivamente del disco duro.
122 Instituto Tecnológico de Costa Rica Escuela de Ingeniería Electrónica
Mediciones de Ancho de Banda
(velocidad de conexión a Internet). v 03_09 Instructor: Ing. William Marín Moreno.
Introducción.
Una de las interrogantes de cualquier usuario que paga por un servicio de conexión a Internet para su casa o empresa es “¿está mi proveedor de servicios brindándome la velocidad por la que pago?”. Existen algunas herramientas en línea que permiten determinar, en forma aproximada, el ancho de banda con el que contamos en determinado instante, pero antes de ello, algunas aclaraciones:
1. La mayoría de los servicios que se contratan para el hogar (como ADSL o Cable- Módem) son de tipo asimétrico, es decir, que la velocidad de bajada (de Internet hacia el usuario) es distinta de la velocidad de subida (del usuario hacia Internet). Generalmente ésta última es la menor dado que el usuario descarga de Internet una cantidad mayor de información que la que envía.
2. Cada tipo de conexión utiliza diversos protocolos (PPP, TCP/IP) que requieren un
123 porcentaje del total del ancho de banda para su funcionamiento. Esto hace que el ancho de banda útil para descarga o envío de información disminuya respecto al valor teórico máximo.
3. Existen otros factores que afectan directamente al rendimiento de la conexión:
a. Hora del día. Existen momentos en los que muchos usuarios del mismo proveedor de servicios se encuentran activamente (descargando información) conectados.
b. Congestión de Internet, del sitio que se visita, o de su proveedor de servicios en un momento específico.
c. La ejecución de otros programas y/o descargar archivos al mismo tiempo que se realiza la prueba de velocidad.
d. Troyanos, Backdoors, Root-Kits y todo tipo de Malware que de alguna manera utilice su conexión de Internet.
4. Como resultado final, la mayoría de las pruebas de velocidad de conexión muestran la velocidad de transferencia de información entre el centro donde está alojado el programa de pruebas y el computador desde el que se le ejecute.
5. La velocidad de transferencia puede considerarse óptima cuando se obtiene al menos el 75% de la velocidad teórica máxima.
6. Las pruebas de velocidad no miden la velocidad de acceso a páginas comerciales, las cuales pueden ser objeto de almacenamientos intermedios (caching), proporcionando al usuario de esas páginas una mayor velocidad aparente.
7. Si se realizan pruebas en forma consecutiva, los resultados obtenidos pueden cambiar en cada momento ya que como se ha mencionado hay muchos elementos diferentes que pueden variar de un instante a otro.
8. La velocidad de transferencia en comunicaciones se mide generalmente en bits por segundo (bps). Cuando se utiliza el termino kilobits_por_segundo (Kbps con b minúscula) se está hablando de 1.000 bits por segundo, sin embargo, cuando se utiliza el término kilobytes_por_segundo (KBps con B en mayúsculas) se refiere a 1000 Bytes por segundo, donde 1Byte = 8bits.
124 9. En los sistemas informáticos para medir unidades de memoria o capacidad de almacenamiento el significado de Kilo es distinto a cuando se habla de velocidad de transmisión. En velocidad de transmisión un Kilo es 1000 mientras que en informática (memoria, almacenamiento) un Kilo es 1024 (da igual que sean bits o bytes). Esta diferencia da lugar a numerosos errores de interpretación.
Herramientas de medición de ancho de banda.
La mayoría de proveedores de servicios de Internet (ISP por sus siglas en inglés) poseen herramientas en línea que permiten determinar, con cierto margen de error, la velocidad de conexión con un usuario. Dichas herramientas básicamente permiten que se intercambie una pequeña cantidad de información entre el computador del usuario y los servidores del ISP, y midiendo el tiempo que tarda la información en cada trayecto se puede entonces determinar la velocidad. Una vez que el usuario inicia la prueba, se anota el tiempo de comienzo en segundos (TC), se descarga el archivo, se anota el tiempo de fin de la descarga (TF=getTime()) y el tamaño del archivo N en bits ( Para pasar el tamaño de un archivo de KiloBytes a Bits hay que multiplicar por 1.024 y luego por 8).5
La velocidad (V) se calcula como el cociente entre el tiempo que dura la descarga y el numero de bits que tiene el archivo descargado:
Se puede concluir que la medida de velocidad que se obtiene es válida y real para el usuario que la realiza y de orientación para el resto de la comunidad que accede a ellas a través de la base de datos de resultados. El grado de fiabilidad de estos resultados ira creciendo a medida que aumente el número de medidas que se realicen para cada proveedor.
A continuación se detallan varias herramientas disponibles para probar la conectividad con proveedores de servicio en Costa Rica.
Speed Test
5 http://aui.es/aui_test/preguntas_frecuentes.htm
125 Disponible en el URL: http://www.speedtest.net/
Aunque Speedtest no es un proveedor de servicios, ofrece pruebas gratuitas de velocidad en línea, y almacena estadísticas de diferentes usuarios y proveedores a nivel mundial para su consulta y comparación. En las siguientes figuras se puede apreciar el procedimiento y los resultados obtenidos al realizar la prueba en una conexión residencial asimétrica con Cable- módem de 1Mbps/256Kbps ubicada en la provincia de Cartago.
Figura 1. Selección del servidor más cercano (Costa Rica).
Figura 2. Luego de realizada la prueba de ping6 se realiza la prueba de descarga de información (del servidor al usuario).
6 Se utiliza el protocolo ICMP para enviar una pequeña cantidad de información entre el usuario y el ISP y se determina el tiempo de ida y regreso, llamado latencia. 14 ms en este caso.
126 Figura 3. Realizando la prueba de envío de información desde el usuario al servidor.
Figura 4. Resultado final de la prueba: 981kbps (para la teórica de 1000kbps) y 238 kbps para la teórica de 256 kbps.
127 Figura 5. El sitio permite compartir y comparar las pruebas con otros usuarios y otros ISP del área.
Amnet Disponible en el URL: http://test.amnet.co.cr/ . Compañía de televisión por cable, conocida antiguamente como Cable Color Televisión y posteriormente adquirida por la empresa norteamericana Amzak International. AMNET ofrece una serie de servicios tecnológicos y de entretenimiento familiar de excepcional calidad: entre ellos; el sistema de televisión por cable más completo de la región con una programación que incluye más de 60 de los mejores canales internacionales; otro servicio es el de Internet de RACSA vía Cable Módem, sistema que transfiere información a alta velocidad a través de la red de televisión por cable de AMNET y disfrutar de todas las emociones y beneficios de la INTERNET; y para completar nuestros servicios de entretenimiento, el sistema Amnet Digital, una moderna plataforma mucho más amigable de televisión interactiva que se adquiere con un pago adicional al servicio básico de televisión
128 por cable y la compra de un decodificador digital; con este servicio el usuario tiene acceso a compra Pay Per View de películas, 50 canales de audio con lo mejor de la música con calidad digital y el sistema de bloqueos de programación para padres7. En las siguientes figuras se puede apreciar el procedimiento y los resultados obtenidos al realizar la prueba en una conexión residencial asimétrica con Cable-módem de 1Mbps/256Kbps ubicada en la provincia de Cartago. Es importante hacer notar que la línea que se mide fue contratada precisamente a ésta compañía, pero que realmente el proveedor del servicio de Internet no es AMNET sino Radiográfica Costarricense. La compañía de cable solamente se encarga del transporte de los datos hasta el usuario final.
Figura 6. Al ingresar al URL, se debe digitar amnetcr como usuario y contraseña (¿Porqué protegen el acceso a ésta prueba?).
Figura 7. Se debe presionar el botón BEGIN TEST para iniciar la prueba. Nótese el logo en la esquina inferior derecha de Ookla Net Metrics8 .
7 Historia de AMNET disponible en: http://www.amnet.co.cr 8 www.ookla.com . La misma empresa desarrolladora de SpeedTest.net
129 Figura 8. Realizando la prueba de ping.
Figura 9. Resultado final de la prueba: 1004kbps (teórica de 1000kbps) y 244kps (teórica de 256kbps).
130 Nótese que también se brindan resultados en kBps
RACSA (Radiográfica Costarricense) Parte del grupo de empresas del Instituto Costarricense de Electricidad, ICE, Radiográfica Costarricense S.A. (RACSA) inauguró en abril de 1994 el servicio de Internet en términos comerciales en el país. En las siguientes figuras se puede apreciar el procedimiento y los resultados obtenidos al realizar la prueba en una conexión residencial asimétrica con Cable-módem de 1Mbps/256Kbps ubicada en la provincia de Cartago. Cabe notar que RACSA es el ISP en éste caso, pero el transporte de los datos es de AMNET. La herramienta se encuentra disponible en el URL: https://www.speed.racsa.co.cr . Dado que se trata de un sitio seguro, se debe primeramente instalar un certificado de seguridad. Es importante recalcar también, que de las herramientas que se probaron, la de RACSA es la que presenta resultados más variables, algunas veces superando incluso la velocidad teórica máxima, por eso se detalla el resultado de tres pruebas consecutivas.
Figura 10. Resultado de la primera prueba: 1945,5 kbps (teórica máxima de 1000kbps). Nótese que no se dispone de la velocidad de subida.
131 Figura 11. Resultado de la segunda prueba: 990,8 kbps (teórica máxima de 1000kbps). Nótese que no se dispone de la velocidad de subida.
Figura 12. Resultado de la tercera prueba: 1468.1 kbps (teórica máxima de 1000kbps). Nótese que no se dispone de la velocidad de subida.
GrupoICE
132 En las siguientes figuras se puede apreciar el procedimiento y los resultados obtenidos al realizar la prueba en una conexión residencial asimétrica con Cable-módem de 1Mbps/256Kbps ubicada en la provincia de Cartago. La herramienta se encuentra disponible en el URL: http://grupoice.com/esp/serv/tele_comp/adsl/medidor_ab.htm
Figura 13. Resultado de la prueba 1015.3 kbps (teórica de 1000kbps)
133 Instituto Tecnológico de Costa Rica Escuela de Ingeniería En Electrónica. Programa de Técnicos en Mantenimiento/Reparación de PC´s
Curso: Diagnóstico y Virus Instructor: Ing. William Marin Moreno Consola de recuperación de Windows XP v 09/08
La Consola de Recuperación en su línea de comandos, pero puede ser utilizada para recuperarnos de serios problemas de inicio, accediendo a ella como usuario con derechos administrativos.
La ejecución de la Consola de Recuperación se puede llevar a cabo de dos maneras:
Iniciándola directamente desde el CD de Windows XP. Instalándola en nuestro sistema y accediendo a ella desde el menú de inicio
INICIO DE LA CONSOLA DESDE EL CD DE WINDOWS XP
Cambiamos la secuencia de arranque de nuestro equipo desde las opciones Advance BIOS Features de nuestra BIOS y colocamos el CD como primer dispositivo de lectura en el arranque o reinicio First Boot Device Colocamos el CD de Windows XP en su bandeja y reiniciamos nuestro equipo Pulsamos cualquier tecla para iniciar desde CD (veras un aviso en el extremo inferior de la pantalla Presiona cualquier tecla para iniciar desde el CD) Esperamos a la carga de archivos Aparecerá la pantalla de instalación de Windows XP y seleccionamos la opción del medio Para recuperar una instalación de Windows XP usando la consola de recuperación, presiona la tecla R Si tenemos multiarranque, seleccionaremos el sistema a recuperar mediante el numeral correspondiente al que este asociado en la pantalla Te solicitará posteriormente la contraseña de administrador que pusiste cuando instalaste el sistema por primera vez Para ver los comandos, desde la pantalla de la Consola de Recuperación, escribe help, una vez obtenidos, puedes ver una descripción de los mismos escribiendo help comando Para salir de la Consola de Recuperación y reiniciar el equipo, escribiremos exit.
INSTALACIÓN DE LA CONSOLA DE RECUPERACIÓN EN EL MENU DE INICIO Colocamos el CD de Windows XP en su unidad y desde Inicio ?> Ejecutar, escribimos:
134 X:i386winnt32.exe /cmdcons Donde ?X? corresponde a la letra de la unidad donde se encuentra el CD. Aparecerá un mensaje del programa de instalación que describe la opción de la Consola de Recuperación, el espacio que requiere en el disco duro y la pregunta: Desea instalar la Consola de Recuperación? Pulsamos SI y la próxima vez que arranquemos nuestro equipo, tendremos en el menú de arranque la opción de la Consola de Recuperación. Una de las mayores ventajas de la Consola de Recuperación respecto por ejemplo al modo seguro, es que esta, nos permite acceder incluso en el caso que existan archivos corruptos y desde la misma es posible realizar las siguientes opciones:
- Copiar, cambiar, reemplazar, cambiar el nombre de archivos y carpeta de XP - Activar o desactivar Servicios o dispositivos - Crear y dar formato a unidades - Reparar el sector de arranque - Reparar el sistema desde un CD
RESTRICCIONES
Solo será posible acceder a los archivos que se encuentren en las siguientes ubicaciones:
- El directorio raíz de cualquier volumen
- La carpeta %SystemRoot% y las carpetas que cuelgan de ella donde XP se haya instalado (C:Windows por regla general)
- La carpeta Cmdcons de la Consola de Recuperación y sus subcarpetas (solo si hemos instalado la Consola de Recuperación como opción en el menú de inicio)
- Loas archivos y carpetas que se encuentran en discos extraíbles (CD, ZIP,disquetes)
REPARAR ARCHIVOS DE ARRANQUE DAÑADOS
Archivo boot.ini esta dañado o no aparece, desde la Consola de Recuperación, escribimos:
- bootcfg/scan para ver las instalaciones de XP disponibles en todos los discos - bootcfg/rebuild para reemplazar automáticamente el archivo boot.ini existente - bootcfg/add para añadir una instalación de XP a boot.ini sin cambiar las entradas existentes.
Archivos críticos del sistema están dañados o no están:
Podemos restaurar los archivos Ntldr, Ntoskrnl.exe, Ntdetect.com y controladores en función de su ubicación, si el archivo esta en el CD de XP, podemos usar el comando copy especificando origen y destino. Windows abre automáticamente los archivos comprimidos, en el caso que estos se encuentren en un archivo *.cab, deberemos utilizar el comando expand.
Otro sistema ha reemplazado el código del sector de arranque:
Escribiremos: Fixboot
135 Para rescribir el código del sector de arranque, deberemos reiniciar el sistema.
ACTIVAR-DESACTIVAR SERVICIO Y CONTROLADORES
Debemos saber que no todos los servicios de XP pertenecen al sistema, algunos de ellos son instalados por terceros, por ejemplo, Nvidia, así como los controladores. Algunas veces estos servicios y controladores de terceros, no están escritos o programados de manera eficiente y causan problemas en XP generando reinicios o paradas del sistema incluso entrando al mismo en ?modo seguro?.
Con la Consola de Recuperación, podremos por ejemplo desactivar un servicio si sospechamos que es el causante del problema y no podemos acceder al sistema en ?modo seguro?.
Listsvc Con este comando, podemos ver una lista de los servicios y controladores del sistema y su estado actual
Disable Con este comando, seguido del nombre del controlador o servicio, podremos detenerlo. Este comando define el tipo de inicio del servicio como service_disabled, así que antes de hacerlo, deberemos consultar el valor del tipo de inicio actual del servicio a deshabilitar: service_boot_start, service_system_start, service_auto_start o service_demand_start y tomar nota del mismo para el caso de volverlo a activar.
Enable Con este comando, seguido del nombre del servicio o controlador mas el valor del tipo de inicio que anotamos al deshabilitarlo, podremos volver a activar el servicio o controlador deshabilitado, una vez comprobado que no es el causante de nuestro problema.
COMANDOS DE LA CONSOLA DE RECUPERACIÓN Attrib Cambia los atributos de archivo de un único archivo o directorio. Este comando establece o quita los atributos de sólo lectura, sistema, oculto y comprimido asignados a los archivos o a los directorios. El comando attrib con los parámetros que se enumeran a continuación sólo está disponible cuando se utiliza la Consola de recuperación. El comando attrib con distintos parámetros está disponible desde el símbolo del sistema. attrib [+r|-r] [+s|-s] [+h|-h] [+c|-c] [[unidad:][rutaDeAcceso] nombreDeArchivo] Parámetros +r Establece el atributo de archivo de sólo lectura. -r Quita el atributo de archivo de sólo lectura. +s Establece el atributo de archivo del sistema. -s Quita el atributo de archivo del sistema. +h Establece el atributo de archivo oculto. -h Quita el atributo de archivo oculto. +c Establece el atributo de archivo comprimido. -c Quita el atributo de archivo comprimido. [[unidad:][rutaDeAcceso] nombreDeArchivo] Especifica la ubicación y el nombre del archivo o el directorio que desea procesar. Puede cambiar los atributos para sólo un archivo o un directorio cada vez. Nota - Puede cambiar varios atributos para un archivo o un directorio determinados con un único comando.
136
Batch Ejecuta los comandos especificados en un archivo de texto. El comando batch sólo está disponible cuando se utiliza la Consola de Recuperacion, que se puede iniciar desde el CD de instalación. batch archivoDeEntrada [archivoDeSalida] Parámetros archivoDeEntrada Especifica el archivo de texto que contiene la lista de comandos que se van a ejecutar. archivoDeEntrada puede constar de una letra de unidad seguida de un signo de dos puntos, un nombre de directorio, un nombre de archivo o una combinación de ellos. archivoDeSalida Si se especifica alguno, almacena el resultado de los comandos en el archivo citado. Si no se especifica este parámetro, el resultado se presentará en la pantalla. Ejemplo El ejemplo siguiente ejecuta el archivo de proceso por lotes C:TrabajosBuscar.txt y almacena el resultado en el archivo C:TrabajosResultados.txt: batch c: rabajosuscar.txt c: rabajos esultados.txt Nota · Un archivo por lotes no puede contener un comando batch anidado.
Bootcfg Utilice el comando bootcfg para la configuración y recuperación de inicio (boot.ini en la mayoría de los equipos). El comando bootcfg con los parámetros que se enumeran a continuación sólo está disponible cuando se utiliza la Consola de recuperación. El comando bootcfg con distintos parámetros está disponible desde el símbolo del sistema. Uso: bootcfg /default Establece la entrada de inicio predeterminada. bootcfg /add Agrega una instalación de Windows a la lista de inicio. bootcfg /rebuild Se repite en todas las instalaciones de Windows y permite al usuario elegir qué elementos agregará. Nota - Antes de utilizar bootcfg /rebuild debe haber hecho previamente una copia de seguridad del archivo boot.ini mediante bootcfg /copy. bootcfg /scan Analiza todos los discos para encontrar instalaciones de Windows y muestra los resultados. Nota - Estos resultados se almacenan estáticamente durante la sesión actual. Si la configuración del disco cambia durante esta sesión, deberá reiniciar el equipo y volver a examinar los discos para poder obtener un recorrido actualizado. bootcfg /list Enumera las entradas ya incluidas en la lista de inicio. bootcfg /disableredirect Deshabilita la redirección en el cargador de inicio. bootcfg /redirect [velocidadBaudiosPuerto] | [utilizarConfiguraciónBios] Habilita la redirección en el cargador de inicio con la configuración especificada.
137 Ejemplo: bootcfg /redirect com1 115200 bootcfg /redirect useBiosSettings
Chdir (Cd) Muestra el nombre del directorio actual o cambia la carpeta actual. El comando chdir o cd con los parámetros que se enumeran a continuación sólo está disponible cuando se utiliza la Consola de recuperación. El comando chdir con distintos parámetros está disponible desde el símbolo del sistema. chdir [unidad:][rutaDeAcceso] [..] o bien cd [unidad:][rutaDeAcceso] [..] Parámetros ninguno Si utiliza el comando chdir sin parámetros, muestra el nombre de la carpeta y la unidad actuales. Si lo utiliza solamente con una letra de unidad (por ejemplo, cd C:), chdir muestra el directorio actual de la unidad especificada. [unidad:][rutaDeAcceso] Especifica la unidad (si es distinta de la unidad actual) y el directorio a los que desea cambiar. [..] Especifica que desea cambiar a la carpeta principal. Utilice un espacio en blanco entre chdir y el signo de dos puntos. Notas · Chdir trata los espacios como delimitadores. Utilice comillas alrededor de un nombre de directorio que contenga espacios en blanco. Por ejemplo: cd "caché de controladores" · Chdir funciona únicamente dentro de los directorios del sistema de la instalación actual de Windows, en los medios extraíbles, en el directorio raíz de cualquier partición de disco duro o en los orígenes de la instalación local.
Chkdsk Crea y muestra un informe de estado del disco duro. El comando chkdsk también enumera y corrige los errores del disco. El comando chkdsk con los parámetros que se enumeran a continuación sólo está disponible cuando se utiliza la Consola de recuperación. El comando chkdsk con distintos parámetros está disponible desde el símbolo del sistema. chkdsk [unidad:] [/p] [/r] Parámetros ninguno Si se utiliza sin parámetros, chkdsk muestra el estado del disco de la unidad actual. unidad: Especifica la unidad que se desea comprobar mediante chkdsk. /p Realiza una comprobación exhaustiva aunque la unidad no esté marcada para que se ejecute chkdsk. Este parámetro no realiza cambios en la unidad. /r Encuentra los sectores defectuosos y recupera la información que sea legible. Implica /p. Nota · El comando chkdsk requiere el archivo Autochk.exe. Si no lo puede encontrar en el directorio de inicio (\%systemroot%System32, de forma predeterminada), lo buscará en el CD de instalación
138 de Windows. Si dispone de un equipo de inicio múltiple, asegúrese de especificar este comando desde la unidad que contiene Windows.
Cls Borra la pantalla. La pantalla mostrará únicamente el símbolo del sistema y el punto de inserción. cls Parámetros Ninguno
Copy Copia un archivo a otra ubicación. El comando copy con los parámetros que se enumeran a continuación sólo está disponible cuando se utiliza la Consola de recuperación. El comando copy con distintos parámetros está disponible desde el símbolo del sistema. copy origen [destino] Parámetros origen Especifica el nombre y la ubicación del archivo que se va a copiar. Origen puede constar de una letra de unidad y un signo de dos puntos, un nombre de directorio, un nombre de archivo o una combinación de ellos. destino Especifica la ubicación y el nombre del archivo o el conjunto de archivos donde se colocará la copia. Destino puede constar de una letra de unidad y un signo de dos puntos, un nombre de carpeta, un nombre de archivo o una combinación de ellos. Notas · El origen puede ser medios extraíbles, cualquier directorio contenido en los directorios del sistema de la instalación actual de Windows, el directorio raíz de cualquier unidad, los orígenes de instalación local o el directorio Cmdcons. · El destino puede ser cualquiera de las mismas ubicaciones que el origen, salvo los medios extraíbles. Si no se especifica un destino, la copia se realizará de forma predeterminada en el directorio actual. · Los archivos comprimidos del CD de instalación de Windows se descomprimen a medida que se copian. · Copy no acepta caracteres comodín.
Delete (Del) Elimina un archivo. El comando delete o del con los parámetros que se enumeran a continuación sólo está disponible cuando se utiliza la Consola de recuperación. El comando delete o del con distintos parámetros está disponible desde el símbolo del sistema. delete [unidad:][rutaDeAcceso] nombreDeArchivo o bien del [unidad:][rutaDeAcceso] nombreDeArchivo Parámetros [unidad:][rutaDeAcceso] nombreDeArchivo Especifica la ubicación y el nombre del archivo que desea eliminar. Nota · Delete funciona únicamente dentro de los directorios del sistema de la instalación actual de Windows, en los medios extraíbles, en el directorio raíz de cualquier partición de disco duro o en los orígenes de la instalación local.
139
Dir Muestra una lista de los archivos y subdirectorios de un directorio. El comando dir con los parámetros que se enumeran a continuación sólo está disponible cuando se utiliza la Consola de recuperación. El comando dir con distintos parámetros está disponible desde el símbolo del sistema. dir [unidad:][rutaDeAcceso][nombreDeArchivo] Parámetros [unidad:][rutaDeAcceso] Especifica la unidad y el directorio cuya lista desea ver. [nombreDeArchivo] Especifica el archivo o el grupo de archivos cuya lista desea ver. Pueden utilizarse varios nombres de archivo. Los nombres de archivo pueden separarse mediante espacios en blanco, comas o signos de punto y coma. Puede utilizar caracteres comodín (? y *) con el parámetro nombreDeArchivo para mostrar un grupo de archivos. Dir también muestra la etiqueta de volumen y el número de serie del disco, así como el número total de archivos enumerados, su tamaño acumulado y el espacio libre (en bytes) que queda en el disco. Para cada archivo y subdirectorio, dir muestra la extensión del nombre de archivo, el tamaño en bytes del archivo, la fecha y la hora en que se modificó por última vez el archivo y los siguientes atributos, si procede: Abreviatura Atributo d Directorio h Archivo oculto s Archivo del sistema e Cifrado r Sólo lectura a Archivos listos para archivar c Comprimidos p Punto de análisis repetido
Nota · Dir funciona únicamente dentro de los directorios del sistema de la instalación actual de Windows, en los medios extraíbles, en el directorio raíz de cualquier partición de disco duro y en los orígenes de la instalación local.
Disable Deshabilita un servicio o un controlador de dispositivo del sistema de Windows XP, Windows 2000 o Windows NT 4.0. El comando disable sólo está disponible cuando se utiliza la Consola de recuperación. disable {nombreDeServicio] | [nombreDeControladorDeDispositivo} Parámetros nombreDeServicio El nombre del servicio del sistema que desea deshabilitar. nombreDeControladorDeDispositivo El nombre del controlador de dispositivo que desea deshabilitar. Ejemplo El siguiente ejemplo deshabilita el servicio Registro de sucesos: disable eventlog Notas - El comando disable establece el tipo de inicio como SERVICE_DISABLED para el servicio o el controlador que especifique.
140 - Cuando utilice el comando disable para deshabilitar un servicio del sistema o un controlador de dispositivo, el nombre del tipo de inicio anterior correspondiente al servicio del sistema o al controlador de dispositivo aparecerá en la pantalla. Debe anotar este nombre por si tiene que restaurar el tipo de inicio a su configuración anterior mediante el comando enable. - Hay cinco tipos de inicio: Los tres primeros, SERVICE_AUTO_START, SERVICE_DISABLED y SERVICE_DEMAND_START, corresponden a los tipos de inicio estándar (Automático, Deshabilitado y Manual) que suele configurar mediante Servicios en la herramienta administrativa Administración de equipos. Los dos últimos, SERVICE_BOOT_START y SERVICE_SYSTEM_START, se utilizan normalmente para configurar el modo en que se cargan los controladores de dispositivo; por ejemplo, cuando se inicia el equipo o cuando se inicia Windows.
Diskpart Crea y elimina particiones de discos duros. El comando diskpart sólo está disponible cuando se utiliza la Consola de recuperación. diskpart [/add | /delete] [nombreDeDispositivo | nombreDeUnidad | nombreDePartición] [tamaño] Parámetros ninguno Si se utiliza sin parámetros, el comando diskpart inicia la versión en modo de caracteres de Windows de diskpart. /add Crea una partición nueva. /delete Elimina una partición existente. nombreDeDispositivo El dispositivo en el que desea crear o eliminar una partición. El nombre se puede obtener del resultado del comando map. He aquí un ejemplo de un nombre de dispositivo: DeviceHardDisk0 nombreDeUnidad La partición que desea eliminar, por letra de unidad. Sólo se utiliza con /delete. A continuación se muestra un ejemplo de nombre de unidad: D: nombreDePartición La partición que desea eliminar, por nombre de partición. Se puede utilizar en lugar de nombreUnidad. Sólo se utiliza con /delete. He aquí un ejemplo de nombre de partición: DeviceHardDisk0Partition1 tamaño El tamaño, en megabytes (MB), de la partición que desea crear. Sólo se utiliza con /add. Ejemplos Los siguientes ejemplos eliminan una partición: diskpart /delete DeviceHardDisk0Partition3 diskpart /delete F: El siguiente ejemplo agrega una partición de 20 MB al disco duro: diskpart /add DeviceHardDisk0 20
Enable Habilita o inicia un servicio un controlador de dispositivo del sistema de Windows XP, Windows 2000 o Windows NT 4.0. El comando enable sólo está disponible cuando se utiliza la Consola de recuperación. enable {nombreDeServicio | nombreDeControladorDeDispositivo} [tipoDeInicio]
141 Parámetros nombreDeServicio El nombre del servicio del sistema que desea habilitar. nombreDeControladorDeDispositivo El nombre del controlador de dispositivo que desea habilitar. tipoDeInicio El tipo de inicio que desea designar para el servicio o el controlador de dispositivo. Entre los tipos de inicio válidos se incluyen: · SERVICE_BOOT_START · SERVICE_SYSTEM_START · SERVICE_AUTO_START · SERVICE_DEMAND_START Ejemplo El siguiente ejemplo establece el tipo de inicio para el servicio Registro de sucesos como Automático o SERVICE_AUTO_START: enable eventlog service_auto_start Notas · Si no designa un tipo de inicio, el comando enable muestra el tipo de inicio actual para el servicio o el controlador de dispositivo que especificó en nombreDeServicio. · Cuando utilice el comando enable para cambiar un tipo de inicio, el nombre del tipo de inicio anterior aparecerá en la pantalla. Debe anotar este nombre por si tiene que restaurar el tipo de inicio a su configuración anterior.
Exit Cierra la Consola de recuperación y reinicia el equipo. El comando exit está disponible cuando utiliza la Consola de recuperación. exit Parámetros ninguno
Expand Extrae un archivo de un archivo comprimido. Utilice este comando para extraer un archivo de controlador de un archivo contenedor (.cab) o un archivo comprimido. El comando expand con los parámetros que se enumeran a continuación sólo está disponible cuando se utiliza la Consola de recuperación. El comando expand con distintos parámetros está disponible desde el símbolo del sistema. expand origen [/F:especificaciónDeArchivo}] [destino] [/d] [/y] Parámetros origen Especifica el archivo que se va a expandir. Utilice este atributo si el archivo de origen sólo contiene un archivo. Origen puede constar de una letra de unidad y un signo de dos puntos, un nombre de directorio, un nombre de archivo o una combinación de ellos. No puede utilizar caracteres comodín. /f:especificaciónDeArchivo Si el origen contiene más de un archivo, especifica el nombre del archivo que desea extraer. Puede utilizar caracteres comodín para los archivos que desea extraer. destino Especifica el directorio de destino y el nombre de archivo para el archivo extraído, o cada uno por separado. /d
142 Muestra una lista de los archivos incluidos en el archivo contenedor sin expandirlo y sin extraer dichos archivos del mismo. /y Suprime la pregunta de si desea sobrescribir archivos cuando expande o extrae archivos. Ejemplos El siguiente ejemplo extrae el archivo Msgame.sys del archivo contenedor Drivers de un CD de instalación y lo copia a C:WindowsSystemDrivers: expand d:i386driver.cab /f:msgame.sys c:Windowssystemdrivers El siguiente ejemplo expande el archivo comprimido Access.cp_: expand d:i386acces.cp_ c:Windowssystem32access.cpl El siguiente ejemplo enumera todos los archivos incluidos en el archivo contenedor Drivers del CD de instalación: expand /d d:i386driver.cab Importante · El archivo contenedor Driver, que alberga la mayoría de los controladores suministrados por Windows, incluye miles de archivos. El proceso de expansión de todos los archivos desde este archivo contenedor al disco duro tardará algunos minutos y ocupará mucho espacio en disco. Se recomienda que de este archivo sólo extraiga el archivo que necesite. Notas · Si no se ha especificado el destino, el archivo se copiará al directorio actual. · No puede especificar como destino un medio extraíble, por ejemplo una unidad de disco o un CD-ROM.
Fixboot Escribe un nuevo sector de inicio de partición en la partición del sistema. El comando fixboot sólo está disponible cuando se utiliza la Consola de recuperación. fixboot [unidad] Parámetro unidad La unidad en la que se escribirá un sector de inicio. Reemplaza la unidad predeterminada, que es la partición del sistema en la que ha iniciado la sesión. A continuación se muestra un ejemplo de unidad: D: Ejemplo El siguiente ejemplo escribe un nuevo sector de inicio de partición en la partición del sistema de la unidad D: fixboot d: Nota · Si utiliza el comando fixboot sin ningún parámetro, se escribirá un nuevo sector de inicio de partición en la partición del sistema en la que inició la sesión.
Fixmbr Repara el registro de inicio maestro del disco de inicio. El comando fixmbr sólo está disponible cuando se utiliza la Consola de recuperacion. fixmbr [nombreDeDispositivo] Parámetro nombreDeDispositivo El dispositivo (unidad) en el que se desea escribir un nuevo registro de inicio maestro. El nombre
143 se puede obtener del resultado del comando map. He aquí un ejemplo de un nombre de dispositivo: DeviceHardDisk0. Ejemplo El siguiente ejemplo escribe un nuevo registro de inicio maestro en el dispositivo especificado: fixmbr DeviceHardDisk0 Notas - Si no especifica un nombreDeDispositivo, se escribirá un nuevo registro de inicio maestro en el dispositivo de inicio, que es la unidad en la que se carga el sistema principal. - Si se detecta una firma de tabla de particiones no estándar o no válida, el sistema le preguntará si desea seguir. Si no tiene problemas de acceso a las unidades, no debe continuar. Si escribe un registro de inicio maestro en la partición del sistema, podría dañar la tablas de particiones e imposibilitar el acceso a las particiones.
Format Formatea la unidad especificada con el sistema de archivos especificado. El comando format con los parámetros que se enumeran a continuación sólo está disponible cuando se utiliza la Consola de recuperación. El comando format con distintos parámetros está disponible desde el símbolo del sistema. format [unidad:] [/q] [/fs:sistemaDeArchivos] Parámetros unidad: Especifica la unidad que desea formatear. No puede formatear un disquete desde la Consola de recuperación. /q Realiza un formateo rápido de la unidad. No se comprueba si existen zonas dañadas en la unidad, por lo que sólo debe utilizar este parámetro en aquellas unidades que haya formateado previamente. /fs:sistemaDeArchivos Especifica el sistema de archivos que se va a utilizar: FAT, FAT32 o NTFS. Si no especifica ningún sistema de archivos, se utilizará el formato del sistema de archivos existente.
Help Proporciona información en pantalla acerca de los comandos de la Consola de recuperación. help [nombreDeComando] Parámetro ninguno Enumera los comandos disponibles en la Consola de recuperación. nombreDeComando Proporciona información acerca del comando, incluidos los parámetros que puede utilizar con el comando Nota: Existen dos maneras de obtener Ayuda en pantalla acerca de un comando. Puede especificar el nombre del comando a continuación del comando help o puede escribir el nombre del comando seguido del modificador /? en el símbolo del sistema. Por ejemplo, puede escribir cualquiera de los comandos siguientes para obtener información acerca del comando extract: help extract extract /?
Listsvc
144 Enumera los servicios y los controladores disponibles en el equipo. El comando listsvc sólo está disponible cuando se utiliza la Consola de recuperación. listsvc Parámetros Ninguno
Logon Inicia una sesión en una instalación de Windows. El comando logon sólo está disponible cuando se utiliza la Consola de recuperación. logon Parámetros ninguno Notas El comando logon enumerará todas las instalaciones detectadas de Windows y solicitará la contraseña del administrador local de dicha instalación para iniciar la sesión. Después de tres intentos fallidos de inicio de sesión se cerrará la Consola de recuperación y se reiniciará el equipo.
Map Muestra la asignación de letras de unidad a nombres de dispositivos físicos. Esta información es útil cuando ejecuta los comandos fixboot y fixmbr. El comando map sólo está disponible cuando se utiliza la Consola de recuperación. Map [arc] Parámetro arc Indica al comando map que muestre nombres de dispositivo Informática avanzada de RISC (ARC) en lugar de los nombres de dispositivo. A continuación se muestra un ejemplo de nombre de dispositivo ARC: multi(0)disk(0)rdisk(0)partition(1) El nombre de dispositivo equivalente es: \Device\HardDisk0\Partition1 Ejemplo El siguiente ejemplo asigna los nombres de dispositivo físico a las letras de unidad utilizando nombres de dispositivo ARC: map arc Notas Si no utiliza el parámetro arc, el comando map muestra los nombres de dispositivo de Windows. El comando map muestra también el tipo de sistema de archivos y el tamaño de cada disco en megabytes (MB).
Mkdir (Md) Crea un directorio o un subdirectorio. El comando mkdir con los parámetros que se enumeran a continuación sólo está disponible cuando se utiliza la Consola de recuperación. El comando mkdir con distintos parámetros está disponible desde el símbolo del sistema. mkdir [unidad:]rutaDeAcceso o bien md [unidad:]rutaDeAcceso Parámetros unidad: Especifica la unidad en la que desea crear el nuevo directorio. rutaDeAcceso
145 Especifica el nombre y la ubicación del nuevo directorio. No puede utilizar caracteres comodín. Nota Mkdir funciona únicamente dentro de los directorios del sistema de la instalación actual de Windows, en los medios extraíbles, en el directorio raíz de cualquier partición de disco duro o en los orígenes de la instalación local.
More Presenta el contenido de un archivo de texto. Utilice el comando more o type para examinar un archivo de texto sin modificarlo. El comando more con los parámetros que se enumeran a continuación sólo está disponible cuando se utiliza la Consola de recuperación. El comando more con distintos parámetros está disponible desde el símbolo del sistema. more [unidad:][rutaDeAcceso] nombreDeArchivo o bien type [unidad:][rutaDeAcceso] nombreDeArchivo Parámetro [unidad:][rutaDeAcceso] nombreDeArchivo Especifica la ubicación y el nombre del archivo que desea examinar. Si utiliza una unidad NTFS y el nombre de archivo contiene espacios en blanco, deberá escribir el nombre de archivo entre comillas (").
Net use Conecta un recurso compartido de red a una letra de unidad. El comando net use con los parámetros que se enumeran a continuación sólo está disponible cuando se utiliza la Consola de recuperación. El comando net use con distintos parámetros está disponible desde el símbolo del sistema. Sintaxis net use [\\nombreDeEquipo\nombreDeRecursoCompartido [/user:[nombreDeDominio\] nombreDeUsuario] contraseña] | [letraDeUnidad:] [/d] Parámetros \\nombreDeEquipo\nombreDeRecursoCompartido Especifica el nombre del servidor y del recurso compartido. Si nombreDeEquipo contiene caracteres en blanco, escriba entre comillas el nombre completo del equipo, desde las dos barras diagonales inversas (\\) hasta el final del nombre del equipo. El nombre de equipo puede tener entre 1 y 15 caracteres. /user: Especifica el nombre de usuario con el que se realiza la conexión. nombreDeDominio Nombre de dominio que debe utilizarse al validar las credenciales del usuario. NombreDeUsuario Especifica el nombre de usuario con el que se iniciará la sesión. Contraseña Especifica la contraseña necesaria para tener acceso al recurso compartido. Déjela en blanco para que se le pida la contraseña. Los caracteres de la contraseña no se muestran en la pantalla a medida que los escribe. /d Indica que esta conexión se va a desconectar.
Rename (Ren) Cambia el nombre de un archivo. El comando rename con los parámetros que se enumeran a continuación sólo está disponible cuando se utiliza la Consola de recuperación. El comando rename con distintos parámetros está disponible desde el símbolo del sistema. rename [unidad:][rutaDeAcceso] nombreDeArchivo1 nombreDeArchivo2
146 o bien ren [unidad:][rutaDeAcceso] nombreDeArchivo1 nombreDeArchivo2 Parámetros [unidad:][rutaDeAcceso] nombreDeArchivo1 Especifica la ubicación y el nombre del archivo cuyo nombre desea cambiar. No puede utilizar caracteres comodín. nombreDeArchivo2 Especifica el nuevo nombre del archivo. No es posible indicar una unidad o una ruta de acceso nueva cuando se cambia el nombre de archivos.
Rmdir (Rd) Quita (elimina) un directorio. El comando rmdir con los parámetros que se enumeran a continuación sólo está disponible cuando se utiliza la Consola de recuperación. El comando rmdir con distintos parámetros está disponible desde el símbolo del sistema. rmdir [unidad:]rutaDeAcceso o bien rd [unidad:]rutaDeAcceso Parámetros [unidad:]rutaDeAcceso Especifica la ubicación y el nombre del directorio que desea eliminar. No puede utilizar caracteres comodín. Notas El directorio debe estar vacío o el comando no se ejecutará correctamente. Rmdir funciona únicamente dentro de los directorios del sistema de la instalación actual de Windows, en los medios extraíbles, en el directorio raíz de cualquier partición de disco duro o en los orígenes de la instalación local.
Set Muestra y establece las variables de entorno de la Consola de recuperación. El comando set es un comando opcional que debe utilizarse con plantillas de seguridad. El comando set con los parámetros que se enumeran a continuación sólo está disponible cuando se utiliza la Consola de recuperación. El comando set con distintos parámetros está disponible desde el símbolo del sistema. set [variable=[cadena]] Parámetros variable Especifica la variable que desea establecer o modificar. La Consola de recuperación admite las siguientes variables de entorno: Variable Descripción AllowWildCards Permite el uso de caracteres comodín con algunos comandos (como el comando del). AllowAllPaths Permite el acceso a todos los archivos y directorios del sistema. AllowRemovableMedia Permite copiar archivos a medios extraíbles, como un disco. NoCopyPrompt No pregunta nada al sobrescribir un archivo existente. cadena Especifica la cadena que desea asociar a la variable especificada. Ejemplos El siguiente ejemplo le permite utilizar caracteres comodín con algunos comandos de la Consola de recuperación: set allowwildcards=true El siguiente ejemplo desactiva la pregunta cuando va a sobrescribir archivos:
147 set nocopyprompt=true Notas Cuando se utiliza sin parámetros, el comando set muestra las variables de entorno actuales. El comando set está deshabilitado de forma predeterminada. Para habilitar el comando set, utilice las plantillas de seguridad. El atributo Habilitar el comando Set para la Consola de recuperación se encuentra en el árbol de la consola, bajo Directiva de equipo local/Configuración del equipo/Configuración de Windows/Configuración de seguridad/Directivas locales/Opciones de seguridad. Todas las variables de entorno están establecidas de forma predeterminada como FALSE (Falso).
Systemroot Establece el directorio actual en la carpeta raiz del sistema de la instalación de Windows en la que inició la sesión. El comando systemroot sólo está disponible cuando se utiliza la Consola de recuperación. systemroot Parámetros Ninguno
Type Presenta el contenido de un archivo de texto. Utilice el comando type o more para examinar un archivo de texto sin modificarlo. El comando type con los parámetros que se enumeran a continuación sólo está disponible cuando se utiliza la Consola de recuperación. El comando type con distintos parámetros está disponible desde el símbolo del sistema. type [unidad:][rutaDeAcceso] nombreDeArchivo o bien more [unidad:][rutaDeAcceso] nombreDeArchivo Parámetro [unidad:][rutaDeAcceso] nombreDeArchivo Especifica la ubicación y el nombre del archivo que desea examinar. Si utiliza una unidad NTFS y el nombre de archivo contiene espacios en blanco, deberá escribir el nombre de archivo entre comillas
148 Instituto Tecnológico de Costa Rica Escuela de Ingeniería En Electrónica. Programa de Técnicos en Mantenimiento/Reparación de PC´s
Curso: Diagnóstico y Virus Instructor: Ing. William Marin Moreno Recuperación de contraseñas en Windows XP v 09/08
Win XP: Cambiar/Borrar contraseña del Administrador AUSTRUMI es un GNU/Linux Live CD pequeño (50MB aproximadamente) bootable. A más de alguna persona le ha pasado, olvidar la contraseña del Administrador (o de cualquier otro usuario). Con AUSTRUMI se puede cambiar o eliminar la contraseña en un sistema con Windows XP, Windows 2000 o Windows NT. Requerimientos
6. CD-ROM Virgen 7. quemador de CD-ROM 8. CPU - Intel-compatible (pentium o ulteriores) 9. RAM - al menos 96 MB 10. Configurar el sistema para que inicie desde el CD-ROM
El método usa una distribución de Linux llamada Austrumi(http://sourceforge.net/projects/austrumi/), corre directamente desde el CD, así que nada se instalará en el Disco Duro.
Procedimiento
Asumiendo que se desea eliminar la contraseña del Administrador, es decir, dejarla en blanco. (Este método es mas efectivo que cambiar la contraseña por otra)
NOTA: A cada interacción Austrumi sugiere la opción por defecto que está entre corchetes ([]) y se ejecuta pulsando Enter, si es otra opción deberás digitarla primero y luego presionar Enter.
Descargar la imagen de la distribución GNU/Linux Austrumi Copiar un CD-ROM virgen con la imagen descargada. Bootear el sistema con Austrumi.
149 Digitar: nt_pass Enter (selecciona la partición, por defecto es 1) Enter (ruta del registro, por defecto es: WINDOWS/System32/config) Enter (Editar información de usuario y contraseña) Enter (Por defecto es el Administrador) n (contraseña nunca expira) * (contraseña en blanco) y (confirmar el cambio) ! (salir) q (salir) y (guardar los cambios) n (correr nuevamente la aplicación) Quitar el CD-ROM y resetear el sistema
NOTA: Al momento de reiniciarse, el sistema hará una verificación de integridad de archivos (chkdsk).
150 Instituto Tecnológico de Costa Rica Escuela de Ingeniería En Electrónica. Programa de Técnicos en Mantenimiento/Reparación de PC´s
Curso: Diagnóstico y Virus Instructor: Ing. William Marin Moreno Reparar el Registro en Windows XP v09/08
Reparar Registro Windows XP En este artículo se describe cómo recuperar un sistema Windows XP que no se inicia debido a que el Registro está dañado. Este procedimiento no garantiza la recuperación completa del sistema a su estado anterior; sin embargo, al utilizarlo debería ser posible recuperar los datos.
En Windows XP es posible recuperar un Registro dañado. Los archivos de Registro dañados producen diferentes mensajes de error. Consulte en Knowledge Base los artículos acerca de mensajes de error relativos a problemas del Registro.
En este artículo se asume que los métodos de recuperación normales no han solucionado el problema y que sólo se puede tener acceso al sistema mediante la consola de recuperación. Si existe una copia de seguridad de Recuperación automática del sistema (ASR, Automatic System Recovery), es la mejor opción para la recuperación; se recomienda que utilice la copia de seguridad ASR antes de intentar el procedimiento descrito en este artículo.
Nota: asegúrese de reemplazar completamente las cinco secciones del Registro. Si sólo reemplaza una o dos secciones, podrían surgir problemas adicionales, ya que el software y el hardware almacenan su configuración en múltiples ubicaciones del Registro.
Al iniciar o reiniciar un equipo basado en Windows XP, puede aparecer uno de los mensajes de error siguientes:
No se puede iniciar Windows XP porque el siguiente archivo está dañado o no se encuentra: \WINDOWS\SYSTEM32\CONFIG\SYSTEM
No se puede iniciar Windows XP porque el siguiente archivo está dañado o no se encuentra: \WINDOWS\SYSTEM32\CONFIG\SOFTWARE
Stop: c0000218 {Error del archivo de Registro} El Registro no puede cargar la sección (archivo): \SystemRoot\System32\Config\SOFTWARE o su registro o alternativo
En el procedimiento descrito en este artículo se utiliza la consola de recuperación (Restaurar sistema) y se indican por orden todos los pasos para garantizar que el proceso se complete correctamente. Una vez finalizado este procedimiento, el sistema
151 debería volver a un estado muy similar a aquel en el que se encontraba antes de producirse el problema. Si ha ejecutado alguna vez NTBackup y ha completado una recuperación del estado del sistema, no necesita seguir los procedimientos de las partes dos y tres; puede pasar a la parte cuatro.
Parte uno
En esta parte, iniciará la consola de recuperación, creará una carpeta temporal, hará una copia de seguridad de los archivos existentes del Registro en una nueva ubicación, eliminará los archivos del Registro de su ubicación actual y, por último, copiará los archivos del Registro desde la carpeta de recuperación a la carpeta System32\Config.
Una vez finalizado este procedimiento, se crea un Registro que puede utilizar para volver a iniciar Windows XP. Ese Registro se creó y guardó durante la instalación inicial de Windows XP; por tanto, perderá los cambios y configuraciones realizados después de la instalación.
Para completar la parte uno, siga estos pasos:
Inicie la consola de recuperación.
En el símbolo del sistema de la consola de recuperación, escriba las líneas siguientes y presione Entrar cuando finalice cada una de ellas: md tmp copy c:\windows\system32\config\system c:\windows\tmp\system.bak copy c:\windows\system32\config\software c:\windows\tmp\software.bak copy c:\windows\system32\config\sam c:\windows\tmp\sam.bak copy c:\windows\system32\config\security c:\windows\tmp\security.bak copy c:\windows\system32\config\default c:\windows\tmp\default.bak delete c:\windows\system32\config\system delete c:\windows\system32\config\software delete c:\windows\system32\config\sam delete c:\windows\system32\config\security delete c:\windows\system32\config\default copy c:\windows\repair\system c:\windows\system32\config\system copy c:\windows\repair\software c:\windows\system32\config\software copy c:\windows\repair\sam c:\windows\system32\config\sam copy c:\windows\repair\security c:\windows\system32\config\security copy c:\windows\repair\default c:\windows\system32\config\default
Escriba exit para salir de la consola de recuperación. El equipo se reinicia.
Nota: en este procedimiento se asume que Windows XP está instalado en la carpeta C:\Windows. Si se encuentra en una ubicación diferente, asegúrese de cambiar C:\Windows por la carpeta Windows apropiada.
Si tiene acceso a otro equipo, para ahorrar tiempo copie el texto del paso dos y, a
152 continuación, cree un archivo de texto llamado, por ejemplo, CopiaReg1.txt. Para crear este archivo, ejecute el comando siguiente al iniciar el equipo en la consola de recuperación: batch copiareg1.txt
El comando batch de la consola de recuperación permite procesar de forma secuencial todos los comandos escritos en un archivo de texto. Cuando se utiliza el comando batch, no es necesario escribir manualmente tantos comandos.
Parte dos
Para completar el procedimiento descrito en esta sección, debe iniciar sesión como administrador o como usuario administrativo (un usuario que dispone de una cuenta en el grupo Administradores). Si utiliza Windows XP Home Edition, puede iniciar sesión como usuario administrativo. En tal caso, debe iniciar Windows XP Home Edition en Modo a prueba de errores. Para iniciar el equipo con Windows XP Home Edition en Modo a prueba de errores, siga estos pasos:
Nota: imprima estas instrucciones antes de continuar. No podrá verlas después de iniciar el equipo en Modo a prueba de errores. Si utiliza el sistema de archivos NTFS, imprima también las instrucciones del artículo de Knowledge Base Q309531, al que se hace referencia en el paso siete.
Haga clic en Inicio-> Apagar -> Reiniciar -> Aceptar .
Presione la tecla F8.
En un equipo configurado para iniciarse en varios sistemas operativos, puede presionar F8 cuando aparezca el menú Inicio.
Utilice las teclas de dirección para seleccionar la opción apropiada del Modo a prueba de errores y, a continuación, presione ENTRAR.
Si dispone de un sistema de inicio dual o múltiple, utilice las teclas de dirección para seleccionar la instalación a la que desea tener acceso y, a continuación, presione ENTRAR.
En la parte dos, va a copiar los archivos de Registro desde la ubicación en la que se ha realizado la copia de seguridad mediante Restaurar sistema. Esta carpeta no está disponible en la consola de recuperación y no suele estar visible durante el uso normal. Antes de iniciar este procedimiento, debe cambiar algunas opciones de configuración para poder ver la carpeta:
Inicie el Explorador de Windows.
En el menú Herramientas, haga clic en Opciones de carpeta->Pestaña Ver-> Archivos y carpetas ocultos, haga clic para activar Mostrar archivos y carpetas ocultos y, después clic para desactivar la casilla de verificación Ocultar archivos protegidos del sistema operativo (recomendado).
Haga clic en Sí cuando aparezca el cuadro de diálogo que pide confirmación de que desea mostrar estos archivos.
153 Haga doble clic en la letra de la unidad en la que instaló Windows XP para obtener una lista de las carpetas. Es importante hacer clic en la unidad correcta.
Abra la carpeta System Volume Information. Esta carpeta aparece atenuada porque se trata de una carpeta ultra-oculta.
Nota: esta carpeta contiene una o más carpetas _restore {GUID}, como _restore{87BD3667-3246-476B-923F-F86E30B3E7F8}.
Nota: es posible que aparezca el mensaje de error siguiente: No se puede tener acceso a C:\System Volume Information. Acceso denegado.
Si aparece este mensaje, consulte el artículo siguiente en Microsoft Knowledge Base para ver las instrucciones de acceso a la carpeta y poder continuar con el procedimiento:
309531 How to Gain Access to the System Volume Information Folder
Abra una carpeta que no se haya creado en este momento. Quizás tenga que hacer clic en Detalles en el menú Ver para mostrar la fecha y hora de creación de las carpetas. Bajo esta carpeta puede haber más de una subcarpeta que comience por "RP x. Se trata de puntos de restauración.
Abra una de las carpetas para localizar la subcarpeta Snapshot; la ruta de acceso siguiente es una ubicación de la carpeta Snapshot de ejemplo:
C:\System Volume Information\_restore{D86480E3-73EF-47BC-A0EB- A81BE6EE3ED8}\RP1\Snapshot
Copie los archivos siguientes de la carpeta Snapshot a la carpeta C:\Windows\Tmp:
_REGISTRY_USER_.DEFAULT
_REGISTRY_MACHINE_SECURITY
_REGISTRY_MACHINE_SOFTWARE
_REGISTRY_MACHINE_SYSTEM
_REGISTRY_MACHINE_SAM
Éstos son los archivos de Registro de los que se hizo una copia de seguridad en Restaurar sistema. Como se utilizó el archivo de Registro creado por el programa de instalación, ese Registro no sabe que los puntos de restauración existen y están disponibles. Se crea una nueva carpeta con un nuevo GUID en System Volume Information, así como un punto de restauración que incluye una copia de los archivos del Registro copiados durante la parte uno. Esto se debe a que es importante no utilizar la carpeta más actual, especialmente si la marca de fecha y hora de la carpeta es la misma que la fecha y hora actual.
La configuración actual del sistema no conoce los puntos de restauración anteriores. Para que los puntos de restauración anteriores estén disponibles, se necesita una copia anterior del Registro efectuada desde un punto de restauración anterior.
154 Los archivos de Registro que se copiaron a la subcarpeta Tmp de la carpeta C:\Windows se mueven para garantizar que estén disponibles en la consola de recuperación. Necesita utilizar esos archivos para reemplazar los archivos del Registro almacenados actualmente en la carpeta C:\Windows\System32\Config. De forma predeterminada, la consola de recuperación no tiene acceso a todas las carpetas y no puede copiar archivos de la carpeta System Volume.
Nota: en el procedimiento descrito en esta sección se asume que se ejecuta el sistema de archivos FAT32 en el equipo. Parte tres
En esta parte, va a eliminar los archivos del Registro existentes y, después, va a copiar los archivos de Registro de restauración del sistema en la carpeta C:\Windows\System32\Config:
Inicie la consola de recuperación.
En el símbolo del sistema de la consola de recuperación, escriba las líneas siguientes y presione ENTRAR cuando finalice cada una de ellas: del c:\windows\system32\config\sam del c:\windows\system32\config\security del c:\windows\system32\config\software del c:\windows\system32\config\default del c:\windows\system32\config\system copy c:\windows\tmp\_registry_machine_software c:\windows\system32\config\software copy c:\windows\tmp\_registry_machine_system c:\windows\system32\config\system copy c:\windows\tmp\_registry_machine_sam c:\windows\system32\config\sam copy c:\windows\tmp\_registry_machine_security c:\windows\system32\config\security copy c:\windows\tmp\_registry_user_.default c:\windows\system32\config\default
Nota: algunas de las líneas de comandos anteriores se han ajustado para que resulten legibles.
Nota: en este procedimiento se asume que Windows XP está instalado en la carpeta C:\Windows. Si se encuentra en una ubicación diferente, asegúrese de cambiar C:\Windows por la carpeta Windows apropiada.
Si tiene acceso a otro equipo, para ahorrar tiempo copie el texto del paso dos y, a continuación, cree un archivo de texto llamado CopiaReg1.txt, por ejemplo.
155 Parte cuatro
Haga clic en Inicio-> Todos los programas-> Accesorios ->Herramientas del sistema-> Restaurar sistema y en Restaurar mi equipo a un momento anterior. Referencias
Para obtener información adicional acerca de Cómo utilizar la consola de recuperación
La información de este artículo se refiere a: Microsoft Windows XP Home Edition Microsoft Windows XP Professional
156 Instituto Tecnológico de Costa Rica Escuela de Ingeniería en Electrónica Programa de Capacitación en Electrónica
Capacitación para el Mantenimiento Preventivo y Correctivo de Computadoras
Personales V05 rev12/08 Instructor: Ing. William Marín Moreno.
Diagnósticos de un computador personal.
La aplicaciones activas pueden corresponder a programas activados o ejecutados por el usuario o a otras aplicaciones que se inician automáticamente al encender el computador, algunas de ellas son necesarias para que el sistema operativo opere.
Lugares desde donde pudo ejecutarse una aplicación:
Menú de Inicio Probablemente se inicia automáticamente con Windows, se encuentran en Inicio / Programas / Inicio ( Start | Programs | Startup folder) WinIni Archivo de ejecución de inicio de Windows, los programas que se cargan cuando Windows inicia se encuentran en las líneas RUN= o LOAD= del archivo WIN.INI RunKeys Llaves y claves del Registro de Windows, se pueden acceder utilizando la utilidad regedit. Se inician automáticamente cuando windows inicia. Las claves que contienen dichas aplicaciones generalmente son: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
NOTA: El registro de configuración de Windows contiene toda la información de Software y Hardware que el sistema necesita para operar. NO cambie nada de registro, almenos que sepa con seguridad lo que hace !!.
Classes Utilizadas por windows para asociar un tipo de archivo con la aplicación necesaria para manipularlo. Por ejemplo los archivos con extensión *.zip pueden estar asociados conWinZip o con WinRar. Generalmente los programas de esta categoría son iniciados manualmente por el usuario.
157 Instituto Tecnológico de Costa Rica Escuela de Ingeniería en Electrónica Programa de Capacitación en Electrónica
Capacitación para el Mantenimiento Preventivo y Correctivo de Computadoras Personales Instructor: Ing. William Marín Moreno.
Práctica sobre Diagnósticos de un computador personal.
Para realizar el diagnóstico de un computador personal, generalmente se utiliza algún programa de diagnóstico especializado como por ejemplo el Sisoft-Sandra o el Checkit. En esta práctica utilizaremos una utilidad en line@ del sitio http://www.pcpitstop.com/
Comience por encontrar el sitio de donde puede descargar las versiones de evaluación de otros programas de diagnóstico: Programa Sitio de descarga Sisoft-Sandra Checkit Dr. Hardware
1. Ingrese al sitio http://www.pcpitstop.com/, asegúrese de mantener abierta solamente la ventana del Explorador de Internet que requiere para ingresar, no utilice el computador ni mueva el ratón o teclado mientras se realiza la prueba. 2. Seleccione FULL TEST (FREE) a la izquierda de la página. 3. Seleccione New Members (aparece una imagen con una llave)
4. Seleccione Dont create an account 5. Observará un par de advertencias sobre la instalación de un controlador ActiveX requerido para realizar las pruebas, presione la barra amarilla que aparece en el navegador y seleccione Instalar
158 Controlador ActiveX. (observe las dos figuras siguientes)
6. Cuando el controlador Activex finalice la instalación, aparecerá una opción sobre la página que dice: Ready?. Let's GO. Selecciónela !!!!. 7. Las pruebas comenzarán a realizarse en éste punto, NO utilice la PC ni mueva el ratón hasta finalizar.
8. Cerca del final de las pruebas se le preguntará una serie de aspectos sobre su computador. Realmente no es relevante completar dicha información por lo que puede omitirse.
159 9. Al finalizar las pruebas, se le mostrará una serie de categorías y recomendaciones similares a las de la figura:
En ellas encontrará información sobre su hardware y software, posibles problemas y soluciones recomendadas. Por ejemplo en la figura anterior se indica que se tiene 2 Craplets (investigue qué es eso y anótelo:______). Al seleccionar, Craplet Scan se mostrarán los craplets junto con una posible solución, tal como se muestra en la siguiente figura:
160 10. Anote a continuación los resultados de las pruebas, en cada categoría según corresponda, que usted considere más relevantes: ______
161 ______.
162 Instituto Tecnológico de Costa Rica Escuela de Ingeniería En Electrónica. Programa de Técnicos en Mantenimiento/Reparación de PC´s
Curso: Diagnóstico y Virus Instructor: Ing. William Marin Moreno [email protected]. Crear un punto de restauración
Tomado del blog de meny: http://supermeny.spaces.live.com/blog
Como crear un punto de restauracion del Sistema COMO CREAR UN PUNTO DE RESTAURACION DEL SISTEMA
1. Primero se abre el menu inicio
163 2. Despues se dirige a “ Todos los programas” o “All programs”
3. Luego dirijase a “Accesorios” ó “Accesories”
164
4. Después en “Herramientas de Systema” ó “System tools”
165
5. Y por ultimo seleccione “Restaurar systema” o “Restore System”. Seleccione la opción crear punto de restauración y de clic en siguiente o next.
6. Especifique un nombre que sea referente a ese punto de restauración, por ejemplo si se va a instalar SQL Server conviene crear un punto de restauración y ponerle ese nombre.
166 Por ultimo de clic en crear y listo, se habra creado un punto de restauración por si falla el SQL Server.
167 Si no se tiene el servicio de restauración del sistema activo, primero: Primero vamos a comprobar que tenemos activada la Herramienta de Restauración de sistema , para ello pinchamos con el botón derecho del Mouse sobre MI PC y seleccionamos Administrar .
Se nos abre una ventana como la que veremos a continuación donde pincharemos sobre Servicios y Aplicaciones , en la pantalla que nos aparece haremos doble clic sobre Servicios
Una vez hecho esto nos aparecerá una ventana con todos los servicios instalados en nuestro Ordenador ,, deberemos buscar el siguiente servicio : Servicio de restauración de sistema que deberá estar Iniciado y en Modo automático
Si no esta así como he descrito deberemos pinchar sobre el servicio abrir el menú con el botón derecho de Mouse y pinchar sobre propiedades , en tipo de Inicio seleccionamos Automático, le damos a Iniciar y a continuación Aplicar y Aceptar , así cada vez que arranquemos el PC este servicio se activara de modo automático
168 169 Instituto Tecnológico de Costa Rica Escuela de Ingeniería Electrónica
Técnico en Mantenimiento y Reparación de PCs Instructor: Ing. William Marin Moreno. Póngase en marcha con el escritorio remoto
Con la característica Escritorio remoto de Windows® XP Professional puede controlar el equipo de forma remota desde otra oficina, desde casa o mientras está de viaje. De este modo puede utilizar los datos, aplicaciones y recursos de red del equipo de la oficina aunque esté fuera de ella.
Para poder utilizar la característica de Escritorio remoto necesita:
• Windows XP Professional instalado en el equipo de la oficina o en cualquier equipo que vaya a controlar de forma remota. Este equipo recibe el nombre de host. • Un equipo remoto con Windows 95 o una versión más reciente de Windows. Este equipo recibe el nombre de cliente y debe tener instalado el software de cliente Conexión a Escritorio remoto. • Una conexión a Internet. Una conexión a Internet de banda ancha mejora el rendimiento, pero no es necesaria porque el Escritorio remoto sólo transfiere los datos mínimos (como los datos de pantalla y los datos de teclado) para controlar de forma remota el equipo host. De este modo, incluso las conexiones a Internet de bajo ancho de banda le permiten controlar de forma remota el equipo de la oficina.
En este artículo se da por hecho que su equipo de la oficina forma parte de una red corporativa en la que se permiten las conexiones con Escritorio remoto. Si tiene alguna duda al respecto, pregunte al administrador del sistema.
Cómo configurar el escritorio remoto en su equipo En primer lugar, tiene que activar la característica Escritorio remoto en el equipo de la oficina para poder controlarlo de forma remota desde otro equipo. En el equipo basado en Windows XP Professional, debe haber iniciado sesión como administrador o como miembro del grupo Administradores para poder habilitar el Escritorio remoto.
Cómo configurar el equipo de la oficina para poder utilizar Escritorio Remoto Abra la carpeta Sistema en el Panel de control. Haga clic en Inicio , seleccione Configuración , haga clic en Panel de control y, a continuación, haga doble clic en el icono Sistema.
170 En la pestaña Remoto , active la casilla de verificación Permitir a los usuarios conectarse remotamente a este equipo , como se muestra a continuación Compruebe que tiene los permisos adecuados para conectarse al equipo de forma remota y haga clic en Aceptar
Nota Si ejecuta Windows XP Service Pack 2 (SP2) y además activa la característica de Esctritorio remoto, el servidor de seguridad (Firewall) de Windows se configurará de manera automática para permitir conexiones de Escritorio remoto. Sin embargo, el Escritorio remoto no funciona si tiene configurado el Servidor de seguridad para que permita excepciones. Para permitir las excepciones tiene que ir al panel de contro y abrir el Centro de Seguridad hacer clic en Firewall de Windows y dejar la casilla de No permitir excepciones en blanco
171 Crear el usuario con el que se conectará al equipo
15.En el PANEL DE CONTROL seleccione HERRAMIENTAS ADMINISTRATIVAS
16.Allí seleccione ADMINISTRACIÖN DE EQUIPOS
1. Busque la carpeta USUARIOS Y GRUPOS LOCALES, y seleccione USUARIOS (vea la figura siguiente)
1. Haga click derecho sobre la parte blanca a la derecha y agregue un usuario nuevo. Tome nota del password que le asigne (no debe quedar en blanco)
Regrese a la configuración del escritorio remoto y habilite el usuario recién creado para que se pueda conectar a su equipo (vea figura siguiente)
172 Instale el cliente de comunicaciones del Escritorio remoto Gracias al software de cliente Conexión a Escritorio remoto los equipos con Windows 95, Windows 98, Windows 98 Second Edition, Windows Me, Windows NT 4.0 o Windows 2000 controlar de forma remota el equipo con Windows XP Professional. El software de cliente está disponible en el CD de instalación de Windows XP Professional y Windows XP Home Edition. Está instalado de forma predeterminada en equipos que ejecutan Windows XP Professional y Windows XP Home Edition. Para instalar el software Conexión a Escritorio remoto en un equipo cliente
1. Inserte el CD de Windows XP en la unidad de CD–ROM. 2. Cuando aparezca la página de bienvenida, haga clic en Realizar tareas adicionales y, a continuación, enInstalar conexión a Escritorio remoto. como se muestra abajo. 3. Cuando se inicie el Asistente para instalación, siga las instrucciones que aparecen en pantalla.
173 Cómo iniciar una sesión de escritorio remoto Cómo crear una nueva conexión a Escritorio remoto
1. Abra Conexión a Escritorio remoto. (Haga clic en Inicio, seleccione Programas o bien Todos los programas, seleccione Accesorios, pulse sobre Comunicaciones, y luego haga clic en Conexión a Escritorio remoto.) 2. En Equipo , tescriba el nombre del equipo con Windows XP Professional que tiene habilitado el Escritorio remoto y en el cual tiene permisos de Escritorio remoto.
3. Haga clic en Conectar . Aparecerá el cuadro de diálogo Iniciar sesión en Windows. 4. En el cuadro de diálogo Iniciar sesión en Windows. escriba el nombre de usuario, contraseña y dominio (si es necesario) y, a continuación, haga clic en Aceptar. Se abrirá la ventana Escritorio remoto con la configuración de escritorio, archivos y programas del equipo de la oficina. El equipo de la oficina permanecerá bloqueado. Nadie podrá trabajar en este equipo sin una contraseña ni podrá ver el trabajo que realiza de forma remota en el equipo de la oficina.
Si desea indicar algunas preferencias, como el nombre de usuario a usar para entrar en el equipo, la resolución de pantalla y otras características, pulse en el botón Opciones >>.
En la primera ficha (General) puede indicar el nombre del usuario y el password, tal como se muestra en la figura siguiente.
174 Si no indica estos datos, al hacer login en el equipo, serán solicitados,
Ficha General: datos del usuario
Mediante la segunda ficha (Mostrar), se puede indicar la resolución además del número de colores que se utilizará, pero, tal como se indica en dicha ficha, (ver figura ), esos colores dependerán de la configuración del equipo remoto.
Si se posiciona el indicador del tamaño a usar hasta la parte derecha (Más), se mostrará a pantalla completa.
175 Ficha Mostrar: tamaño de la ventana remota y colores a usar
En la ficha Recursos locales (ver figura) se pueden indicar algunas opciones sobre el comportamiento de la conexión y los recursos locales que pueden ser accesados desde el otro computador. De forma que se puede "traer" el sonido del equipo remoto al equipo local o se puede compartir con el equipo remoto las unidades de disco, impresoras y puertos serie.
176 Recursos locales y remotos
Si marcamos la opción de conectar las unidades locales (ver figura anterior), al conectar nos preguntará si estamos seguros de hacerlo, ya que puede suponer un problema de seguridad.
177 Advertencia de seguridad al permitir conectar desde el equipo remoto a las unidades locales
En la ficha Rendimiento swe indican las opciones "gráficas" que se desea habilitar al conectar remotamente. Dependiendo de la velocidad de conexión que se posea, se pueden seleccionar todas o solo las que interese (ver figura siguiente).
. Opciones de rendimiento al conectar con el equipo remoto
Una vez configuradas todas la preferencias con esa conexión, se pùede conectar al equipo remoto.
178 Al hacerlo se mostrará la ventana para iniciar la sesión (por eso es necesario la cuenta de usuario que se creó co anterioridad), en la que debe indicarse el nombre de usuario y contraseña del equipo remoto,
Cómo se abre una conexión guardada
11. En el Explorador de Windows, abra la carpeta Mis documentos\Escritorios remotos. . 12. Haga clic en el archivo .Rdp de la conexión que desea abrir
Nota un archivo de Escritorio remoto (.rdp) contiene toda la información de una conexión a un equipo remoto, incluida la configuración de Opciones que se estableció al guardar el archivo. Puede personalizar cualquier número de archivos .rdp, incluso los archivos para conectarse a un mismo equipo con configuraciones distintas. Por ejemplo, puede guardar un archivo que se conecta a Mi PC en modo de pantalla completa y otro archivo que se conecta al mismo equipo en tamaño de pantalla de 800×600. De forma predeterminada, los archivos .rdp se guardan en la carpeta Mis documentos\Escritorios remotos. Para modificar un archivo .rdp y cambiar su configuración de conexiones, haga clic con el botón secundario en el archivo y, a continuación, haga clic en Modificar
Cómo cerrar y finalizar la sesión
1. En la ventana Conexión a Escritorio remoto, haga clic en Inicio y, a continuación, haga clic en Apagar.
Aparecerá el cuadro de diálogo Salir de Windows.
2. En el menú desplegable, seleccione Cerrar sesión de "nombre de usuario" y, a continuación, haga clic en Aceptar.
179 Instituto Tecnológico de Costa Rica Escuela de Ingeniería En Electrónica. Programa de Técnicos en Mantenimiento y Reparación de PC´s
Curso: Diagnóstico y Virus Instructor: Ing. William Marin Moreno [email protected].
Power On Self Test (POST).
A la hora de diagnosticar el hardware de un computador, muchas veces sucede que al encenderlo solo se escuchan algunos pitidos (beeps) paro no se logra observar nada en el dispositivo de visualización. Dichos pitidos constituyen la forma en la que el computador indica que posiblemente existe algo erróneo con el Hardware. El auto-diagnóstico de encendido (POST) es realizado por el BIOS del computador cuando es encendido, para asegurarse de que el sistema funciona adecuadamente y para recaudar información acerca de los componentes que integran el sistema. Cuando se detecta un error durante el POST, generalmente el BIOS genera un mensaje que lo indica, pero algunas veces el error se produce demasiado pronto como para poder acceder la tarjeta de video para desplegar el mensaje en pantalla; en este caso el BIOS produce un código de error sonoro utilizando el altavoz interno del PC, para indicarle al usuario el tipo de error encontrado.
El significado exacto del código sonoro depende de la marca, tipo y versión del BIOS que utilice cada computador, pero las marcas más populares de BIOS son: 17. Award 18. American Megatrends (AMI) 19. Phoenix Nota: Un único pitido durante el proceso de arranque, usualmente luego de que aparece la pantalla inicial de inicio del BIOS no indica ninguna falla, y se considera normal del proceso de inicio. Algunos de los mensajes frecuentes ganarados por el BIOS utilizando códigos sonoros son: DRAM refresh failure Fallo en el ciclo de refescamiento de la DRAM Parity circuit failure Fallo en el circuito generador de paridad System timer failure Fallo en el reloj del sistema Base 64K RAM failure Fallo de la memoria base (64K RAM) Processor failure Fallo del Microprocesador Keyboard controller / gate A20 failure Fallo del controlador de teclado Display memory read/write failure Error de lectura/escritura en la memoria de video ROM BIOS checksum failure Error de la ROM del BIOS (Checksum)
180 CMOS shutdown register read/write error Error de L/E en el registro de apagado del CMOS Cache memory error Error de memoria Caché Continuous Beeping: Memory or video problem Problema de Video (memoria o tarjeta) Los códigos POST no se envian solamente al altavoz del sistema, sino que el BIOS utiliza el puerto #80H (generalmente) del bus de datos para enviarlo. Esto es aprovechado por algunos fabricantes de herramentas de diagnóstico para vender tarjetas “lectoras” de códigos POST. Dichas tarjetas leen la información de error que viaja por el puerto y despliegan el error en algun sistema de visualización propio, como visualizadores de siete segmentos o pantallas de cristal líquido (las más baratas utilizan diodos emisores de luz –LED-). Algunas de estas tarjetas inclusive son capaces de indicarle al usuario la localización del error y la manera de arreglarlo. Algunas de estas tarjetas son: Tarjeta Fabricante PC Sentry Computer Diagnostic Board. NetWind Inc. / Cdi Communications POST-Probe Micro2000 Omni Analyzer NetWind Inc.
Investigue en Internet : 1. El Significado de los errores que se indican en la primera tabla de este documento. 2. 2 tipos diferentes de tarjetas POST y sus principales características. Indique el precio de cada una y la razón por la que usted elegiría una de ellas. 3. ¿Qué es un check point?
Busque información referente al BIOS que tiene en su computador: Fabricante y modelo de la Tarjeta Madre______Fabricante del BIOS______. BIOS ID String (identificador /versión del BIOS)______. i Descargue el manual de ESPECIFICACIONES TECNICAS de la tajeta madre de su computador Complete, la siguiente tabla, para el computador que se le asignó: Beep Codes Cantidad Significado de Pitidos 1
2
3
4
5
181 6
7
8
9
10
11
Inspeccione la tarjeta POST que se le entregó, y anote lo siguiente:
Significado de los LED de la tarjeta: CLK______.
BIOS IRDY ______
OSC______.
RST______.
+12V /-12V/3.3V/ +5V______
Antes de instalar la tarjeta POST, verifique en el manual de la Tarjeta Madre si debe tener algún cuidado especial (por ejemplo instalarla en un slaot específico) Esto es sumamente IMPORTANTE, ya que en algunos casos allí se detalla la forma en la que debe instalarse la tarjeta POST. ¿Qué dice el manual al respecto?______. Instale cuidadosamente la tarjeta, y anote los códigos que se producen cuando:
182 Código de operación normal (al finalizar el encendido)______. Es un error o un check-point:______
Remueva la memoria RAM Código al NO tener memoria RAM______. Es un error o un check-point:______
Instále nuevamente la RAM, y desinstale la tarjeta de video Código sin tarjeta de video______. Es un error o un check-point:______
Instale nuevamente la tarjeta de video y remueva la batería Código sin batería______. Es un error o un check-point:______Busque en el manual de la tarjeta madre, busque los errores arriba anotados y anote sus comentarios. ______Nota: El manual de usuario y el manual de especificaciones técnicas de una tarjeta madre suele ser muy diferente. La información que usted requiere para la práctica se encuentra en el manual de especificaciones Técnicas. (Technical Product Specification).
183 Instituto Tecnológico de Costa Rica Escuela de Ingeniería En Electrónica. Programa de Técnicos en Mantenimiento y Reparación de PC´s
Curso: Diagnóstico y Virus Instructor: Ing. William Marin Moreno Identificadores de la Comisión Federal de Comunicaciones
La FCC (Federal Communications Commission), es una organización gubernamental dedicada, entre otras cosas, de clasificar algunos dispositivos electrónicos –incluyendo los computadores personales- en dos categorías conocidas como Clase A y Clase B. La clasificación indica la cantidad de radiación que el dispositivo emite. La mayoría de computadores logran alcanzar los requerimientos de Clase A, lo que significa que son adecuados para su utilización como equipo de oficina. Los equipos Clase B, que son adecuados para utilizarse en cualquier lugar, incluyendo el hogar, deben primero sobrepasar pruebas más estrictas, ya que la clasificación de Clase B indica que la cantidad de emisiones de Radio Frecuencia del equipo (RF) es tan baja que no causa interferencia con ningún otro dispositivo cercano como radios y televisores.
Figura 1. Logotipo de la FCC
Aunque la FCC no tiene nada en común con los diferentes fabricantes, muchas veces el número de identificación de un dispositivo puede ayudar a encontrar el fabricante del mismo, lo que constituye un buen paso en el proceso de detección de averías y búsqueda de controladores (drivers) adecuados.
En la página web de la FCC (http://www.fcc.gov), se cuenta con una base de datos que contiene los registros de los equipos que han sido certificados, de tipo aceptado o verificados por la FCC; así como también la autorizaciones que ha emitido, que es de mucha utilidad para localizar fabricantes desconocidos o en los casos en los que no se pueda determinar a simple vista.
Ejemplo Información
Equipos con esta etiqueta se FCC ID encuentran en la base de datos..
184 Equipos con esta etiqueta NO se FCC DoC encuentran en la base de datos. Declaración de Simplemente se hace referencia al Conformidad cumplimiento de las normas de FCC..
Equipos con esta etiqueta solo se encuentran en la base de datos si FCC Reg. # además cuentan con el FCC ID. El Número de número de registro del fabricante Registro nunca se muestra en la base de datos. Definiciones
13. El FCC ID consiste de dos elementos, el código otorgado al fabricante (grantee code) y el código del producto. 14. El Grantee Code consiste en los primeros tres caracteres delFCC ID. El Grantee code es asignado en forma permanente por la comisión como autorización a los fabricantes de equipos de radio frecuencia cuyos productos se encuentran sujetos a revisión. 15. El Equipment Product Code (EPC) es asignado por el fabricante a su producto, y puede contener un mínimo de 1 caracter y máximo 14. 16.En el caso en el que aparezcan guiones (-) como parte del EPC, es necesario ingrasarlos de esta manera en la base de datos. 17. La herramienta de búsqueda del FCC se pueda accesar por medio de la dirección http://www.fcc.gov/oet/ea/ , seleccionado en el menú de la izquierda la opción: FCC ID Search que se muestra en la imagen:
Controladores (Drivers) Si se está intentando localizar el fabricante o los controladores adecuados para un dispositivo en particular, lo primero que se debe realizar es digitar el nombre del fabricante en un servicio de directorio o motor de búsqueda de internet. A continuación se muestran algunos ejemplos:
Un controlador es un programa que ayuda a controlar o manipular un dispositivo. Cada uno de losdispositivos de una PC como impresoras, teclados y discos duros deben contar con un controlador. Algunos controladores de dispositivos sencillos vienen incluidos con el sistema operativo, pero otros lo tienen almacenado en un CD o diskette que acompaña el dispositivo cuando se compra, y es necesario para poder utilizarlo. En MS D.O.S, los controladores tienen extensión .sys, mientras que bajo el ambiente Windows los controladores tienen la extensión .drv. Un controlador o manejador, actúa como un traductor entre el dispositivo y el programa que lo utiliza, ya que cada dispositivo cuenta con su propio conjunto de comandos especializados que solo su controlador puede entender.
185 Si el fabricante del dispositivo no se puede determinar o se desconoce, se puede buscar en la base de datos de la FCC su nombre y luego intentar el método anterior. Si el dispositivo es bastante “común” o de marca reconocida, se pueden utilizar sitios web dedicados a coleccionar drivers o ayudar en su búsqueda, como los mostrados en la tabla siguiente. Lugar Dirección MrDriver http://www.mrdriver.com WinFiles http://www.winfiles.com WinDrivers http://www.windrivers.com Support Tech http://webhome.idirect.com/~cati/ Driver32 http:// driver.s oftlookup.com/ Driver Shaq http://www.drivershq.com Driver Guide http://www.driverguide.com/ Driver Zone http://www.driverzone.com/ Drivers http://www.drivers.com/search.html ABCDrivers http://www.abcdrivers.com/fccid.asp
186 CompTIA identificadores de reparación.
El estándar de códigos o mensajes de error de CompTIA provee a la industria de IT un estándar para la identificación, categorización y seguimiento de los síntomas de fallo para incidentes de servicio; desde la identificación de los problemas iniciales hasta una solución. Estos códigos de asistencia en la raíz del problema reducien el número de reincidencias de “No Problema/Fallo Encontrado (NPF/NFF) por sus siglas en inglés) en la cadena de garantía/reparación.
INSTRUCCIONES DE USO DE LOS CODIGOS DE FALLO9
1. Seleccione el digito 2. Seleccione el digito 3. Seleccione el digito que más correspondiente al sistema correspondiente al tipo de falla se asemeje a la acción realizada operativo primario instalado del dispositivo (ejemplo: por el servicio técnico e en el dispositivo que ha sido intermitente, continuo, etc.) e introdúzcalo en el campo #1 de la atendido e introdúzcalo en introdúzcalo en el campo #2 de la sección del código de fallos el campo #1 de la sección sección del código de fallos. del código de fallos. SISTEMA OPERATIVO MODIFICADOR (TIPO DE ACCION FALLO) Apple OS Classic A Código de Beep A Ajuste A Apple OS X B Fallas causadas por el sistema B Aplicar el boletín FSB (arreglado B en el sitio) Linux C Instrucción detectada en el C Actualización de BIOS o C chasis Firmware MS Vista D Configuración D No se puede duplicar D MS Windows 2000 E Continua E Configurar E MS Windows 2003 F Inducida por el usuario F Reemplazado por el cliente F MS Windows NT G Causada por el ambiente G No se encontraron fallas G MS Windows Otro H Fallo después de calentar H Recibido de logística H MS Windows XP I Fallos diagnostico/mensaje de I Recargado I error No Aplica J Fallo de auto J Remplazado por actualización J diagnostico/mensaje de error Novell K Instalación no posible K Reseat K OS 2 L Intermitente/ se nota cierta L Regresar/defectuoso. L frecuencia Otro M LED indicador de fallas M Retornado / no se realizó ninguna M acción UNIX-HP-UX N No aplica N Retornado / con consejo N UNIX-TRU64 O Pre-fallo diagnosticado O Retornado / Cliente Satisfecho O VMS P “Factory Recall” del Producto P DOA recibido Q Repetible. R
9 NOTA: Partes retornadas sin utilizar deben ser codificadas como JNMG08
187 4. seleccione el código de tres dígitos que mejor describa el síntoma o modo de fallo en el dispositivo e introdúzcalo en los campos 4, 5 y 6 de la sección del código de fallos. GENERAL COMUNICACIONES-RED-MODEM Accesorio adicional necesario G01 Nivel de revisión de BIOS o firma incorrecta C01 Mal olor G02 Error de BIOS o firma C02 Pantalla azul (durante el proceso) G03 Cuestiones de Bluetooth/wifi C03 Contaminación/ corrosión G04 Cable o correa mala C04 Satisfacción del consumidor/ debería ser mejor G05 Cuestiones de correa/ATM C05 Aplicación de software de usuario G06 Cuestiones de comunicación fallida C06 Cosas Perdidas (incompleto, perdido, parte mala) G07 Cuestiones de conexión – tono de línea C07 Parte buena sin usar G08 Interrupción de conexión C08 Parte etiquetada incorrectamente G09 Lentitud o ruido en la línea de conexión C09 Articulo perdido de parte o accesorio G10 No hay respuesta en la línea de conexión C10 Tipo de licencia G11 No hay tono en la línea C11 Ambiente con sobre temperatura G12 Cuestiones de convergencia C12 Contraseña o PIN olvidado G13 Cuestiones del cableado C13 Cuestión de velocidad o rendimiento G14 Cuestiones con el driver del dispositivo C14 Físicas o cosméticas (sucio o raspado) G15 Dispositivo se detiene durante el arranque C15 Cuestiones de software preinstalado G16 Dispositivo se detiene al iniciar usuario C16 Cuestiones de software de administración remota G17 Dispositivo no se apaga C17 Reemplazo de múltiples partes G18 Dispositivo se apaga golpeadamente C18 Fallo diagnosticado/ código de error en comentario C19 Error externo en retroalimentación C20 Cuestiones de fibra C21 Cuestiones de Firewire C22 Problemas de hibernación-suspensión-resumen C23 Problemas con el infrarrojo C24 Error interno de retroalimentación C25 Cuestiones de dirección IP C26 Cuestiones de ISDN C27 Cuestiones de tarjeta de red C28 Cuestiones de PING en el servidor C29 Pines/conectores doblado/quebrado C32 Cuestiones de Alimentación o luces C31 Avisos de prefallas (comentarios en cubierta) C32 Cuestiones con T1 C33 Cuestiones con T3 C34 Cuestiones con USB C35 Cuestiones con celular inalámbrico C36 Fallos con HUB inalámbrico o repetidor C37
OTROS DISPOSITIVOS FUENTE-BATERIA-UPS Distorsión en el audio X01 El interruptor de 110/220V no esta ajustado E01 correctamente Canal frontal de audio dañado X02 Hardware o consumibles no especificado por 3ra parte E02 Entrada de audio no funciona X03 Cuestiones de alarmas audibles E03 Canal de audio izquierdo no funciona X04 Batería no carga E04 No hay sonido en los audífonos X05 Batería no mantiene la carga o cuestiones de carga E05 No hay sonido en los parlantes X06 Indicación de remplazar batería de UPS E06 Salida de audio no funciona X07 Cable o cordón defectuoso E07 Canal de audio trasero no funciona X08 Cuestiones de error de configuración E08 Canal de audio derecho no funciona X09 Cuestiones de controladores de dispositivo E09 Sonido y video no están sincronizados X10 Dispositivo no se apaga E10 Error de BIOS firmware X11 Dispositivo se apaga golpeadamente E11 Nivel de revisión del BIOS firmware incorrecto X12 Fallo diagnosticado/ código de error en comentario E12 Error o distorsión en cámara X13 Fallo de ventilador, disipador o sobrecalentamiento E13 No hay imagen desde la cámara X14 Cuestiones de fuses E14 Error de configuración X15 Error de LED indicador o no hay LED E15 Cuestiones de controlador de dispositivo X16 Ruido, vibración o zumbidos E16 Dispositivo no reconocido X17 No hay alimentación AV E17 Dispositivo golpeado X18 No hay alimentación de la batería E18 Fallo diagnosticado/ código de error en comentario X19 Avisos de prefallas (comentarios en cubierta) E19 Cuestiones de Estación de acoplamiento/ puerto X20 Problemas de reset o reset aleatorio E20 replicador
188 Error de dispositivo externo X21 Voltaje sobre o bajo la tolerancia E21 Fallo de ventilador, disipador o sobrecalentamiento X22 Problemas mecánicos X23 Cuestiones del micrófono X24 Pines/conectores doblado/quebrado X25 Cuestiones de alimentación o luces X26 Imposible insertar o extraer dispositivo X27 Formato de video no reconocido X28
IMPRESORA-FAX o MULTIFUNCIONAL TARJETA MADRE/CPU Error de BIOS firmware P01 Canal frontal de audio dañado S01 Nivel de revisión del BIOS firmware incorrecto P02 Entrada de audio no funciona S02 Cable o cordón malo P03 Canal de audio izquierdo no funciona S03 Cuestiones de calibración P04 Salida de audio no funciona S04 Cuestiones de acopio P05 Canal de audio trasero no funciona S05 Fallos con la comunicación P06 Canal de audio derecho no funciona S06 Fallos de configuración P07 Error de BIOS o firma S07 Cuestiones de cartuchos de tinta o Toner P08 Nivel de revisión de BIOS o firma incorrecta S08 Consumibles, hardware descalificado por terceros P09 Error de chequeo S09 Panel de control inoperativo P10 Cuestiones de día y hora S10 Daño de cliente P11 Error de configuración S11 Dispositivo se detiene durante el arranque P12 Error de CPU S12 Dispositivo se detiene al iniciar usuario P13 Dispositivo se detiene durante el arranque S13 Dispositivo no se apaga P14 Dispositivo se detiene al iniciar usuario S14 Fallo diagnosticado/ código de error en comentario P15 Dispositivo no se apaga S15 Falla o error de motor P16 Dispositivo se apaga bruscamente S16 Problema DOCKING en dispositivo externo P17 Fallo diagnosticado/ código de error en comentario S17 Cuestiones de fax P18 Problema DOCKING en dispositivo externo S18 Fallo de ventilador, disipador o sobrecalentamiento P19 Error de emulación o comunicación S19 Fallo de fuses P20 Cuestiones de eSATA S20 Fallo en disco duro P21 Slot (ranuras) de expansión dañados S21 Problemas de hibernación-suspensión-resumen P22 Error de retroalimentación S22 Error de copia de imágenes P23 Fallo de ventilador, disipador o sobrecalentamiento S23 Cartucho o toner derramado P24 Cuestiones del Firewire S24 Error interno de memoria P25 Problemas de hibernación-suspensión-resumen S25 Error de tarjeta lógica o tarjeta de sistema P26 Cuestiones de batería interna (e. cmos) S26 Uso mecánico P27 Error de retroalimentación externo S27 Error en tarjeta de memoria P28 Problema mecánico S28 Cuestiones de retensión o trasporte de papel P29 Error o fallo en memoria S29 Papel atascado P30 Cuestiones del puerto paralelo S30 Pines/conectores doblados/quebrado P31 Cuestiones de PCMCIA S31 Cuestiones de Alimentación o luces P32 Pines/conectores doblados/quebrado S32 Avisos de prefallas (comentarios en cubierta) P33 Problemas de reset o reset aleatorio S33 Cuestiones de seguimiento o alineación de la cabeza P34 Cuestiones de SAS S34 Cuestiones de calidad en impresión o color P35 Cuestiones con el SCSI S35 Impresión de paginas negras o blancas P36 Cuestiones del puerto serie S36 Problemas de reset o reset aleatorio P37 Cuestiones del puerto USB S37 Cuestiones de calidad o error en escaneo P38 Cuestiones de entrada o salida de video S38 Fallo en auto comprobación (al inicio) (self test) P39 UNIDADES DE ALMACENAMIENTO/DISCOS DISPLAY-MONITORES Nivel de revisión de BIOS o firmware incorrecto M01 El segundo monitor no trabaja D01 Error de BIOS o firmware M02 Cuestiones de luz trasera (no funciona) D02 Cable o correa mala M03 No hay video D03 Cuestiones con el cache de la batería M04 Componente quemado D04 Error de cache del modulo M05 Cable o cordón dañado D05 Cuestiones o error de configuración M06 Error de cámara (distorsión ) D06 Error de arreglo de controladores M07 Error de cámara (no hay imagen) D07 Controlador otros errores M08 Color – incorrecto o perdido D08 Error de controlador PCI M09 Color – borroso/ líneas claras D09 Error de controlador RAID M10 Cuestiones de composición de video D10 Error de controlador SCSI M11 Cuestiones de error de configuración D11 Cuestiones de error controlador de interrupciones M12 Cuestiones de contraste D12 Corrupción de datos M13 Adulterado D13 Cuestiones de controlador de dispositivos M14
189 Cuestiones de controlador de dispositivo D14 Dispositivo se detiene durante el arranque M15 Diagnostico fallido (código de error en comentarios) D15 Dispositivo se detiene al iniciar usuario M16 Cuestiones de horizontal, vertical o diagonal D16 Dispositivo no se apaga M17 Foco, distorsión, borroso D17 Dispositivo se apaga golpeadamente M18 Cuestiones de entrada-salida D18 Fallo diagnosticado/ código de error en comentario M19 Intensidad baja D19 Fallo de arreglo M20 Ruido a alta frecuencia D20 Cuestiones de formateo M21 Daño físico o cosmético D21 Error de identificación M22 Pines/conectores doblados/quebrado D22 LED ámbar encendido M23 Píxeles malos o excesivo conteo de píxeles D23 LED de fallas encendido M24 Cuestiones de Alimentación o luces D24 LED rojo encendido M25 Caracteres aleatorios D25 Errores cíclicos M26 Cuestiones de tamaño, alineación o geometría D26 Problemas mecánicos M27 Inestable (saltos, rotaciones o sacudidas) D27 Problemas de múltiples discos M28 Ruidoso M29 Pines/conectores doblado/quebrado M30 Cuestiones de Alimentación o luces M31 Avisos de pretallas (comentarios en cubierta) M32 Errores de Lectura/Escritura M33 Sectores dañados/Defectuosos M34 No arranca (bootea)/Error de arranque dañado M35 No monta partición/No se reconoce/Fallos de inicialización M36 No gira M37
190 UNIDADES REMOVIBLES (Zips-CD-Flash-Tape) DISPOSITIVOS DE ENTRADA-TECLADOS- PUNTEROS Entrada de audio no funciona R01 Cable o cordón defectuoso K01 Salida de audio no funciona R02 Cuestiones de lectora de tarjetas K02 Error de archivos de seguridad R03 Cuestiones de fallo en comunicaciones K03 No se puede leer el código de barras R04 Cursor no sigue apropiadamente (saltos, rotaciones o K04 sacudidas) Nivel de revisión de BIOS o firma incorrecta R05 Cuestiones de controlador de dispositivo K05 Error de BIOS o firma R06 Dispositivo se detiene durante el arranque K06 Problemas de sensado BOT/EOT R07 Dispositivo se detiene al iniciar usuario K07 Cable o cordón defectuoso R08 Fallo diagnosticado/ código de error en comentario K08 Fallo de comunicación R09 Problemas de hibernación, suspensión o Resume K09 Error de configuración R10 Código de acceso incorrecto K10 Consumibles, hardware descalificado por terceros R11 Tecla inoperativa o no responde K11 Datos corruptos R12 Teclas de instrucción aspera K12 Cuestiones de errores en datos R13 Tecla stuck/sticky key K13 Dispositivo se detiene durante el arranque R14 Problemas mecánicos K14 Dispositivo se detiene al iniciar usuario R15 No responde K15 Dispositivo no se apaga R16 Pines/conectores doblado/quebrado K16 Dispositivo se apaga golpeadamente R17 Cuestiones de estilo o pantalla táctil K17 Fallo diagnosticado/ código de error en comentario R18 Fuga de sustancias K18 Error de cambio de disco R19 Cuestiones de memora Flash o Memory Stick R20 Cuestiones de controlador de Floppy R21 Cuestiones de formateo R22 Cuestiones de calentamiento (temperatura o ganancia) R23 Cuestiones de calentamiento (seguimiento y R24 alineamiento) Problemas mecánicos R25 Daños al dispositivo R26 Dispositivo no reconocido/ trabaja en otra unidad R27 Cuestiones de selección de pin R28 Pines/conectores doblado/quebrado R29 Cuestiones de Alimentación o luces R30 Avisos de prefallas (comentarios en cubierta) R31 Errores de lectora – escritura R32 Goteo en cartuchos de cinta R33 Problemas de ThREAd en cintas R34 No acepta o expulsa dispositivos R35 No monta o no reconoce R36 No debería girar R37 La cinta no debería moverse R38
191 Instituto Tecnológico de Costa Rica Escuela de Ingeniería En Electrónica. Programa de Técnicos en Mantenimiento/Reparación de PC´s
Curso: Diagnóstico y Virus Instructor: Ing. William Marin Moreno LiveCD/DVD CD Autónomo
rev_10_2009 Un CD o DVD autónomo (LiveCD o Live DVD) es un CD/DVD que contiene un sistema operativo funcional (“arrancable” o ejecutable) para computador. Nótese que NO se trata de el instalador del sistema operativo, aunque algunos sistemas operativos pueden contener ambas funcionalidades en un mismo disco.
La característica que hace único un LiveCD consiste en que permite cargar el sistema operativo completo sin necesidad de contar con un medio de almacenamiento secundario (po ejemplo un disco duro). Por otro lado, últimamente se pueden encontrar versiones LiveUSB, qu ejecuta el sistema oiperativo desde una memoria USB (pendrive, o “Llave Maya” como se le conoce en tiquicia...) con la particularidad de poder escribir cambios en la memoria.
Aunque por lo general los LiveCD no alteran la información almacenada en los discos duros, generalmente contienen una serie de herramientas que permiten modificar la información, típicamente para corregir errores en el sistema operativo que se encuentra instalado en el disco duro, instalar un nuevo sistema operativo, realizar respaldos de datos, e inclusive remover malware.
Por defecto, los sistemas tipo LiveCD se ejecutan en un disco duro virtual que se crea en la mamoria principal (RAM) denominado RAM-disk, por lo que la cantidad de memoria disponible para ser utilizada por las aplicaciones es mucho menor a la instalada en el sistema.
192 Algunos ejemplos de CDs autónomos son:
• Billix – Contiene varias distribuciones de GNU/Linux para su instalación. • Hiren's Boot CD – Disco de rescate al estilo MSDOS que contiene herramientas para particionado, manejo del sistema de archivos, rescata y diagnóstico de datos, etc. Generalmente utilizado durante el proceso de búsqueda de averías en computadores con sistemas operativos Windows. • Inquisitor – CD autónomo para realizar diagnóstigos, pruebas de estrés, y comparación. • RIP: (R)ecovery (I)s (P)ossible LiveCD basado en GNU/Linux con herramientas de particionado y compartición de archivos en red (Samba). • SystemRescueCD Herramientas para reparación de Windows y Linux . • Trinity Rescue Kit – Herramientas para reparación de Windows basado en Mandriva Linux. • Ultimate Boot CD – Basado en Linux/FreeDOS con herramientas para particionado y recuperación de datos en Windows • UBCD4Win – La versión Windows de Ultimate BootCD (basado en BartPE ) • Parted Magic – Herramientas de particionado.
• Gparted – Herramientas de particionado.
• Acronis Rescue Media – Permite realizar imagenes de unidades de disco duro. ______Si desea ver una lista muy completa visite http://www.livecdlist.com/
Hiren's BootCD (http://www.hiren.info/pages/bootcd) es un CD autónomo. Este contiene una secuencia de arranque, así puede ser útil incluso cuando el sistema operativo primario no pueda ser iniciado. Por que el sector cero o MBR del Disco Duro no es escrito correctamente o carece de alguno. El Hiren's BootCD tiene una lista extensa del software.
193 Las utilidades con funcionalidad similar en el CD se agrupan juntas y parecen redundantes, sin embargo existen diferencias entre ellas o se complementan. El 29 de agosto de 2009 lanzaron la versión actual que es la 10.0, que contiene varias utilidades tales como:
• Pruebas del funcionamiento del sistema. • Reproductores multimedia. • Gestor del Master Boot Record. • Herramientas del BIOS. • Cambio o eliminación de contraseñas en el equipo. • Programas de recuperación de datos.
Y muchos otros que resuelven los problemas de la computadora.
Existe un articulo detallado de las aplicaciones del Hiren's Boot 6.0.
Por la índole de las aplicaciones que contiene, el autor no publica directamente su descarga, pero puede ser descargado de: http://www.hirensbootcd.net/
Menú principal de Hiren's
Errores Con Particiones y Linux
194 Algunas veces cuando se instala un sistema operativo podemos encontrar diversos errores, como es que la tabla de partición no funcione correctamente, o el espacio del disco duro no coincida y nos lleve a encontrar diversas fallas.
Como se ha mencionado anteriormente, este CD contiene herramientas para la resolución de estos problemas, recomendándose el utilitario "Acronis Disk Director Suite" que permite, mediante un ambiente gráfico, localizar el error y retomar el control. También posee una herramienta llamada HDD Regenerator que recupera cualquier sector de disco duro con daños magnéticos
Legalidad Hiren's BootCD se considera Warez y constituye una "infracción" del copyright del software. Aún cuando contiene software libre y abandonware, contiene también programas con copyright del sistema MS-DOS, por lo cual se debe tener en cuenta que al ser usado se puede infringir la ley de propiedad intelectual (debido a la significativa cantidad de programas sin licencia). Esto hace que el disco sea ilegal en algunos países.
Dr. Web Dr. Web LiveCD es un producto de software que ofrece una solución completa de antivirus ejecutable desde un CD autónomo.
Dr. Web Permite comprobar todos los archivos en los sistemas de archivos Windows (FAT, FAT32 y NTFS). Ophcrack es una utilidad para recuperar contraseñas de Windows basado en tablas rainbow.
195 Aunque se puede instalar en el mismo sistema operativo del cual se quiere averiguar la contraseña, Ophcrack resulta más eficaz e interesante ejecutándose desde otro sistema operativo, instalado en otra partición o disco duro o ejecutarlo desde un LiveCD. 1. Descarga el .ISO del LiveCD de Ophcrack desde su web oficial. (http://ophcrack.sourceforge.net/) (412.4 MB) 2. Quema la .ISO a un CD utilizando algún programa para quemar CD’s. 3. Reinicia el PC y bootea desde el LiveCD. 4. Selecciona “Iniciar Ophcrack”. *Cuando el LiveCD terminé de cargar el sistema y el entorno de escritorio, Ophcrack iniciará automaticamente y comenzará a intentar decifrar la contraseña del Windows XP. Cuando haya finalizado, verás la contraseña de Windows bajo la tabla “NT Pwd”.
Ophcrack también está disponible como una aplicación más que puedes usar desde Linux para crackear la contraseña de tu Windows instalado en otra partición pero yo en lo personal preferí descargar el LiveCD para siempre tener esta gran herramienta siempre a la mano.
Según el autor, Ophcrack es capaz de recuperar el 99% de las contraseñas alfanuméricas en cuestión de segundos.
196 Ophcrack 2.1 es una aplicación que permite obtener las contraseñas de tu sistema Windows basado en el Ophcrack 1.0, disponible tanto para Windows como para Linux gracias a las libretrías GTK.
197 WiFiSlax
Wifislax es un CD de arranque que contiene al sistema operativo Linux. Puede hacer correr Linux directamente desde el CDROM sin instalación. Aunque lleva incorporado herramientas de instalación en el disco duro o en llaveros USB, o una emulación en Windows. Wifislax esta basado básicamente y principalmente en SLAX (basado en la distribución Slackware Linux), pero debido al gran trabajo realizado por los autores del BackTrack hemos trabajado directamente sobre este ultimo live CD, así pues catalogar al Wifislax como una live CD podría incluso considerarse como erróneo. También están disponibles todos los scripts y códigos fuente, los cuales pueden ser utilizados para construir tu propio live CD. Hemos realizado una serie de modificaciones que pueda cambiar el concepto de remasterización, y por lo tanto definirlo como una propia live CD. Tampoco la definición de traducción de la fuente original podría ser correcta, ya que no solo hemos traducido algunos aspectos importantes de trabajos anteriores, sino que hemos dotado a esta live CD de ciertas características que la hacen únicas.
Hemos aumentado el reconocimiento de las tarjetas inalámbricas (wireless) porque ese es el objetivo final de esta live CD, tener una herramienta de seguridad orientada al trabajo que tanto nos gusta, que es la auditoria inalámbrica, así pues a día de hoy, ya no dependemos de las aplicaciones y drivers que otros grandes grupos ensamblen en sus live CD, sino que dotaremos a nuestro sistema de las aplicaciones que nosotros mismo hemos diseñado y traducido al español, u otras alternativas que las consideremos aptas para ello, solo tenéis que comunicarlo y al menos podemos prometer que intentaremos realizarlo.
198 En estos momentos no hay en Internet ninguna live CD que este integrada con los drivers de las famosa ipw2200, los rt73 de las nuevas tarjeta USB con chipset ralink, las nuevas PCI con el chipset rt61, así como los acx y los ipw3945 de conexión y de auditoria, sin olvidar los novedosos zydas zd1211rw y como no los rtl8187 de ultima generación, además de los drivers de toda la vida para el entorno de seguridad wireless, madwifi-ng, realtek, etc. Y no solo nos ocupamos del simple análisis pasivo a través del modo monitor con cualquier sniffer sino que además la hemos dotado de los parches necesarios para la aceleración de trafico. Si consideras que wifislax es muy pesada y el proceso de descarga es muy lento, puedes probar primero: Live CD Wifislax (versión reducida), que integra las funciones básicas para el wireless y el bluetooh con solo 290megas. Nota legal: El uso de este software de análisis wireless debe ser una herramienta básica para profesionales y particulares que ansían conocer el nivel de seguridad de sus instalaciones inalámbricas, queda totalmente prohibido el uso de la misma para cometer actos delictivos de intrusión sobre las redes wireless de las cuales no somos propietarios o no tenemos los permisos pertinentes para analizar su nivel de seguridad. Es vuestra responsabilidad mantener la idea principal por la que se creo seguridad wireless y todo su entorno.
En lo que respecta a las aplicaciones, la hemos dotado de ciertas herramientas muy importantes para la
199 auditoria wireless que serán de fácil manejo para todos, y en la medida que ha sido posible, la hemos traducido al español, como por ejemplo el airoscript, que os recomiendo que lo probéis sobre todo a los recién llegados, así como el mismo airoscript especifico y adaptado para las ipw2200. Además hemos incorporado como una serie de lanzadores gráficos par facilitar el digamos estrés que muchos detractores de linux siempre han manifestado, que corresponde al exceso uso del teclado para muchas herramientas, aunque no olvidar que dichos lanzadores solo aglutinan una ínfima parte de las posibilidades de desarrollo con el trabajo con comandos básicos. Estos lanzadores son meras scripts gráficas de muy fácil uso, a a partir de las cuales podemos crear las nuestras especificas con el software de diseño y gestión que la misma live incorpora y que ya es funcional a partir de las versiónes 3.X del wifislax.
Una vez que tenemos corriendo el Live Cd en nuestra pc, en el momento del login poner los siguientes datos: user: root pass: toor y a continuación si queremos entrar al entorno gráfico escribimos startx y listo! ya estamos adentro!
Info de la página oficial: Soporte para los chipset de las tarjetas wireless que más usamos y más nos interesan: Prism54 Madwifi-ng HostAP Ralink rt2570 , 2500, rt73 y rt61 Zydas ZD1211rw Intel pro wireless ipw2100 / ipw2200 / Intel pro wireless ipw3945 Realtek rtl8180 y rtl8187
Broadcom Texas Instruments (acx)
videos disponibles en
http://www.wifislax.com/manuales/videos.php
200 201 Instituto Tecnológico de Costa Rica Escuela de Ingeniería En Electrónica. Programa de Técnicos en Mantenimiento/Reparación de PC´s
Curso: Diagnóstico y Virus Instructor: Ing. William Marin Moreno [email protected].
Reparando Windows con Knoppix *
Ha utilizado Knoppix? Esta distribución de arranque para linux, la cual viene en formato de CD o DVD, puede ser un salvavidas cuando su computadora se daña. En esta sección, le guiaremos a través del proceso de reparación de windows con Knoppix, incluyendo el redimensionamiento de las particiones de Windows, resolver problemas de archivos clave del sistema y recobrar información. Este es un capítulo tomado del libro de tecnología extrema (ExtremeTech book) Hacking Knoppix.
Redimensionamiento de las Particiones de Windows
El particionando es una manera simple de segmentar tu disco duro en diferentes secciones. Los usuarios avanzados tipicamente particionan su disco duro por razones de desempeño y creación de copias de seguridad e inclusive para alojar varios sistemas operativos en la misma maquina, cuando el sistema es particionado por primera vez, el tamaño de las particiones es determinado por la experiencia del instalador y las necesidades proyectadas para la partición. Al paso del tiempo los requirimientos en el tamaño de la partición pueden cambiar, necesitanto ser redimensionados.
En la actualidad existen una gran gama de aplicaciones comerciales como por ejemplo el Partition Magic, la cual tiene la habilidad de reparticionar tu disco duro. Estos tienen un costo de $70 o más, pero por otro lado, puede obtener las mismas funciones básicas usando funciones nativas de Knoppix, sin costo. En esta sección se explica como redimensionar tu partición de Windows u otros sistemas de partición usando Knoppix y QTParted, con una interfáz gráfica amigable con el usuario.
QTParted es compatible con las siguientes tipos de particiones de Microsoft (además de otros tipos de archivo sistema no-windows)
* Artículo original: Scott Granneman, [http://www.extremetech.com/article2/0,1697,1918391,00.asp]
202 • FAT16—Usado principalmente en Windows 3.1 y primeras versiones de MS-DOS
• FAT32—Usado en Windows 95, 98, y ME
• NTFS— Usado en versiones de Windows basados en NT, incluyendo NT, 2000, XP , 2003 y Windows Vista.
Existen otras herramientas gratuitas compatibles con una mayor cantidad de tipos de sistemas opertativos, como por ejemplo Gparted.
Preparando la Particion
Antes de redimensionar las particiones, se debe defragmentar las particiones, este proceso es muy sencillo, reorganiza el disco duro, acomodando los archivos nuevamente de la manera más lógica posible, usualmente en grupos y buscando errores.
A pesar de que el particionado con las herramientas descritas en este artículo son probadas a través del tiempo y usadas por muchos usuarios, siempre cabe la posibilidad de generar un error inesperado en la partición o la posibilidad de circunstancias desafortunadas, por eso es importante el contar con copias de seguridad de los datos importantes.
Determine priemro los requerimientos en la distribución de los archivos de sistema antes de redimensionar sus particiones. Necesitará esta información para obtener un manejo más efectivo de esta herramienta. Por ejemplo si tiene una única partición en todo el disco duro que consiste en 100 GB, y quiere crear espacio para una partición secundaria de Windows o Linux de 10 GB, debería redimensionar la partición primaria a 90 GB, dejando 10 GB para la nueva partición a crear.
La herramienta QTParted no puede crear espacio donde no lo hay, por eso debe estar seguro que tienes los requirimentos de espacio disponible que planea redimensionar. Si la partición primaria es de 100 GB y está ocupada con 98 GB de datos, se tendría la posibilidad de crear una nueva partición de hasta 2 GB, dado que ese es todo el espacio disponible.
Particionando con QTParted
Listo para particionar? Inicia la maquina con el disco de Knoppix y elige Knoppix > System > QTParted. Una ventana similar a la mostrada en la figura 1 se abrirá.
203 Figura 1. Vista principal de Qtparted.
La lista de discos detectados aparecerá en la izquierda. La información referente al disco seleccionado aparecerá abajo del panel izquierdo y en el panel derecho de la ventana con una lista de las particiones. En el ejemplo de la figura 1 QTParted muestra que el primer disco (/UNIONFS/dev/hda) cuenta con dos particiones, ambas de tipo de sistema de archivos de Windows, indicado con un pequeño icono en la columna del número de partición. La columna de tipo identifica el sistema de archivos (NTFS, FAT32 o FAT16). El gráfico de las particiones ubicado arriba de la lista indica la cantidad de espacio usado, por ejemplo la partición NTFS usa 2.18 GB de sus 3.91 GB de espacio y la partición FAT32 usa 32.15 MB de sus 3,98 GB de espacio.
Para iniciar la operación de redimensionado, se presiona el click derecho en la casilla gráfica de la partición que se desea redimensionar, y selecciona operations > resize. El dialogo QTParted Resize Partition se abrira (figura 2)
204 Figura 2. Cambiando el tamaño a una partición.
Puede usar la ventana gráfica en la parte superior, con el click izquierdo y mover los extremos para disminuir o aumentar la partición, o puede escribir el valor de la partición que quieres en el espacio de nuevo tamaño (New Size), la figura 3 muestra una partición redimensionada a 1 GB
Figura 3. Cambiando el tamaño de la partición a 1GB.
Cuando ha introducido la información correcta, presiona aceptar (OK) (en este momento los cambios deseados todavía no han sido realizados de forma permanente).
La pantalla principal muestra las modificaciones (figura 4): dos particiones y un espacio gris que indica el
205 espacio libre que se creó luego del redimensionado. La nueva partición FAT32 es ahora de 996.22 MB y cuenta con 2.99 GB de espacio libre. La partición redimensionada cuenta con un color solido, indicando que no se ha terminado aún, y no se puede formatear hasta que se finalice.
Figura 4. Cambios listos para aplicar.
Si se han cometido errores, puede deshacer todo hasta dejarlo como estaba antes. seleccionando File > &Undo y el sistema regresará al estado previo.
Ahora puede crear otra partición en el espacio libre haciendo click derecho en el espacio gris y seleccionar &Create (o seleccionando Operation > &create). El objeto de dialogo QTParted Create Partition se abrira (figura 5)
206 Figura 5. Crear una nuava partición
Presione la flecha en la derecha del texto Create as y seleccione el tipo de partición deseada (partición primaria o extendida). Existe una limitación de 4 particiones primarias impuesta por el sector maestro de arranque (Master Boot Record o MBR). Para solucionar este problema se creó la partición extendida para añadir más particiones a una unidad. Una partición extendida es creada por la división de una de las 4 particiones primarias en más divisiones llamadas unidades lógicas lógicas. La mayoria de los sistemas operativos son instalados en una partición primaria e iniciados deesde allí (GNU/Linux es una excepción porque puede ser iniciado desde la unidad lógica). Si se quiere crear una partición NTFS de 2.99 GB (todo el espacio vacio) como una partición secundaria para copia de seguridad (backup) de Windows, el resultado será como lo muestra la figura 6.
207 Figura 6. Creación de una nueva partición.
Después de haber realizado todas la lista de modificaciones deseadas y estar cómodo con los cambios, es necesario hacer que los cambios sean permanentes (hasta este punto los cambios son "virtuales", o para mostrar solamente). Para hacer que los cambios sean permanentes, seleccione File > &Commit. La figura 7 muestra el cuadro de diálogo de advertencia que aparece indicando que está a punto de realizar los cambios en el disco duro permanentemente. Si tiene una partición de intercambio (memoria virtual) en la unidad que se están realizando los cambios, y para evitar problemas se debe estar seguro que el swap está desactivado, ya sea arrancando con Knoppix con la opción noswap o ejecutando desde la ventana de terminal el comando swapoff -a
Figura 7. Advertencia antes de aplicar los cambios
Seleccione [YES]. Una ventana muestra el progreso de las modificaciones y el tiempo estimado hasta la finalización. Si todo es éxitoso, los cambios se realizaran en el disco duro y el cuadro de diálogo se parece al de la figura 8.
208 Figura 8. Avance de los cambios.
Después de completar el cambio de tamaño, puede dar formato a de nuevo las particiones con QTParted- solamente se tiene que seleccionar Operations > Format
Realizar cambios ante problemas con archivos de sistema
A veces Windows tiene archivos que están dañados o desaparecidos, menoscabando gravemente, o incluso impidendo el funcionamiento del sistema. Si le ha sucedido esto antes, usted sabe que una de sus opciones es comenzar desde cero o intentar recuperar el sistema usando la Consola de Recuparación de Windows. El conjunto de utilidades incluidas en esta herramienta es escasa y difícil de utilizar. Knoppix, por otro lado, ofrece una amigable y muy potente, en el que para arreglar algunas cuestiones que puede encontrar.
Por defecto, Knoppix puede leer un gran conjunto de sistemas de archivos, pero no cuenta con soporte de escritura en algunos de ellos. Hay algunos problemas conocidos con Knoppix 3,8 y superiores en lo correspondiente a escritura en los sistemas de archivos NTFS (el predeterminado de Windows 2000, XP y Vista). La versión 5.3.1 parece no tener problemas de escritura.
Accesando el boot.ini para Resolver problemas de Inicio.
El archivo boot.ini es utilizado por los sistemas basados en Windows NT (NT, 2000, XP, 2003 y Vista) para
209 iniciar el sistema correctamente en el entorno operativo de Windows mostrando una lista de los sistemas operativos que reconoce y dirigir el sistema seleccionado hacia el ambiente de trabajo. Si el archivo está corrupto, dañado, o desaparecido, no puede iniciar Windows correctamente. El archivo boot.ini puede ser dañado si se reinicia un sistema incorrectamente, pueden estar ausentes si alguien lo borra accidentalmente, o, bueno, hay muchas otras causas de este error.
Si inicia el sistema y se tiene un mensajede error indicando que el archivo boot.ini es invalido o Windows no puede iniciar mensaje de error, la causa más probable es un archivo boot.ini no un válido o dañado. Para corregir este problema, es necesario editar el archivo boot.ini existente o crear uno nuevo, genérico. En primer lugar, se debe tener derechos de escritura en la partición de Windows (Knoppix monta por defecto todas las particiones existentes como sólo lectura) con el click derecho en la unidad y seleccionando Propiedades busque en la pestaña Dispositivos, asegúrese de que la opción sólo lectura sea desactivada para que la unidad sea escribible.
Precaución: Modificar particiones NTFS puede causar problemas significativos, es preferible escribir sobre particiones FAT.
Una vez que tienen la capacidad para escribir en el sistema de ficheros, localice en el directorio de arranque de Windows, (normalmente la raíz de C:, que aparecerá en Knoppix como hda1). Primero realice una copia del archivo pulsando con el botón derecho y seleccione copiar. A continuación, pegue la copia en su directorio de Windows en caso de que necesite de ella más adelante.
210 Figura 9. Localización del archivo boot.ini
Edite el archivo boot.ini con su editor favorito, la figura 10 muestra el editor Kwrite
Figura 10. Edición de boot.ini con Kwrite
Seguidamente se muestra un boot.ini genérico para Windows XP Home Edition.
[boot loader] timeout=30 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect
211 El significado de las secciones y variables del archivo son:
-timeout: especifica cuánto tiempo el sistema debe esperar a la entrada del usuario, mientras que el menú de arranque se despliega.
-default: identifica que la selección de Windows reconoce el sistema operativo (identificados en la sección [operating systems]) será arrancado si el usuario no hace ninguna selección en el menú de arranque. La sección [sistema operativo] identifica todos los sistemas operativos Windows reconocibles que puede ser arrancado por el menú de arranque.
-Multi: Indica que este sistema tiene una unidad IDE o ESDI y casi siempre es 0. Si está utilizando una unidad SCSI sin soporte del BIOS, aparecerá como scsi (0) en lugar de multi(0). (Nota: los sistemas Windows NT que utilizan SCSI tienen multi). E designador de discos ess 0 si tiene multi . Si se usa un adaptador scsi, se debe indicar el número del bus SCSI, como por ejemplo con rdisk(1) para el disco secundario y rdisk(0) para el primario. Si está utilizando scsi, esta opción es siempre 0.
-Partition: indica la partición en la que reside el archivo de arranque. Si se encuentra en la segunda partición primaria, usted deberá escribir partition(2). No se debe escribir partition(0) porque no existe la partición 0. La última parte identifica el directorio en el que reside Windows (en este caso \WINDOWS (este puede ser cualquier cosa dependiendo de la versión de Windows y la forma en que el sistema fue instalado). Todo después de que el signo igual entre comillas y muestra lo que aparecerá en el menú de arranque para el usuario.
La mayoría de los problemas con el boot.ini se dan porque se daña el archivo (o mala configuración si se editó o fué modificado). Puede utilizar la información anterior para recuperar simplemente la sustitución o la adición de líneas por defecto.
Para saber más de la edición y configuración del boot.ini, visite éste artículo de la base de conocimientos de Microsoft. (Cómo modificar el archivo Boot.ini en Windows XP. Artículo 289022).
Una vez finalizada la edición del archivo boot.ini, apague el computador, extraiga el CD de Knoppix y reinicie el sistema.
Editar el registro del sistema.
El registro es el archivo de configuración central donde Windows mantiene un registro de toda la información específica de la localización, ajustes y configuraciones de los archivos del sistema operativo. El registro se puede editar de una forma muy sencilla utilizando el programa nativo de Windows regedit en Knoppix, solamente se debe digitar el siguiente comando en una ventana de terminal (consola):
212 regedit
Este comando invoca a Wine (http://www.winehq.org/) y éste ejecuta el Editor de Registro de Windows (conocido como regedit), tal y como se muestra en la Figura 11. (El Wine es una aplicación de código abierto que parmite ** ejecutar APIs de Windows en GNU/ Linux. Algunas personas piensan en Wine como un emulador de Windows, pero los desarrolladores de Wine lo llaman "capa de compatibilidad" de Windows para Unix.)
Figura 11. Editor del Registro ejecutado por Wine.
Todo la funcionalidad que usted encuentra en el funcionamiento del editor de registro en Windows esta disponible con Wine, incluida la importación de una copia de seguridad del registro y guardar un registro modificado, algunas de las versiones de Knoppix incluyen un excelente editor de registro de Windows (nativo de *** Linux) llamado Offline NT Password & Registry Editor (chntpw ), un programa que le permite modificar el registro de Windows, así como las contraseñas de Windows.
Knoppix versiones 3,8 y posteriores no incluyen chntpw por defecto, pero el software está disponible a través de APT (digite sudo apt-get install chntpw en una ventana de terminal), así como a través del programa Klik.
Recobrando Información
Si Windows falla por completo y no puede ser recuperados utilizando el editor de registro o el boot.ini, y no se posee un respaldo de la información de usuario, Knoppix permite acceder a la partición de Windows y guardar los datos importantes en múltiples tipos de almacenamiento para su restauración posterior, incluyendo unidades USB (también llamados unidades flash o llave maya), CD-Rs y DVD-Rs, y la copia de datos a través de la red. Esta sección explica cómo guardar y recuperar los datos que se pueden restablecer después de haber reinstalado Windows. ** Application Programming Interface *** http://home.eunet.no/~pnordahl/ntpasswd/
213 Preparación para la Recuperación de Datos.
El error más común en la recuperación de datos de un sistema sucede cuando se esta incurriendo en omisiones a causa de la prisa, así que debe tomarse el tiempo necesario y asegurarse de que se esta recuperando todo lo valioso.
La localización de los archivos más valiosos para un usuario se encuentra generalmente donde se almacena su perfil:
● C:\Documents and Settings\nombre_del_usuario
En Knoppix normalmente aparecerá como /mnt/hda1/Documents and Settings), que es donde Windows por defecto guarda la mayoría de los archivos de los usuarios, documentos, música, imágenes, etc. Si hay alguna dirección no estándar en los directorios que usted o sus usuarios usan para guardar los datos, considere la posibilidad de guardarlos también.
Sugerencia: Después de haber guardado todos los archivos que usted piensa que necesita, siempre es una buena idea comprobar que los datos se ha guardado correctamente. Navegue por el medio de copia de seguridad y abra archivos al azar para asegurar que los datos son válidos.
Almacenamiento de datos en una unidad USB. (NO se llama llave maya!!!!)
Knoppix reconoce la unidad USB casi inmediatamente después de la unidad se ha conectado. A partir de ese momento, se trata de una cuestión trivial para guardar los datos de la partición de Windows a la unidad USB, que es representada por el icono USB en el escritorio. Para guardar la información en la unidad, sólo se tendrá que habilitar la escritura presionando click derecho, en el icono de la unidad usb, y seleccionando Propiedades. Haga clic en la pestaña de dispositivos, que se parece mucho el cuadro de diálogo se muestra en la Figura 12, y luego desmarcar la casilla Sólo lectura para permitir la escritura a la unidad. Haga clic en Aceptar para cerrar la ventana.
214 Figura 12. Propiedades de la unidad USB.
Monte la unidad pulsando con el botón derecho sobre el icono de la unidad y seleccione Montar.
Puede utilizar la línea de comandos, con el comando cp para mover archivos entre el disco duro y la unidad USB (normalmente / dev/uba1), o si lo prefiere, puede abrir dos ventanas de Konqueror (véase figura 13) y arrastrar y soltar.
215 Figura 13. Moviendo archivos con dos estancias de Konqueror
La única limitación para salvar los archivos de esta manera es la velocidad de la transferencia de archivos y la capacidad de la unidad USB.
Grabación de datos en un CD o DVD
La grabación de archivos en CD o DVD es muy sencilla en Knoppix, el cual incluye K3B, un grabador de CD's amigable con el usuario, que no se aleja de los (más caros) programas comerciales. Seleccione Knoppix> Multimedia> k3b y el programa se abrirá. La aplicación en pantalla es similar a la que se muestra en la Figura 14.
216 Figura 14. Grabador de archivos K3B.
Seleccione Nuevo Proyecto de CD de datos o DVD de datos en la ventana de nuevo Proyecto. Navegue a los archivos que desea guardar, arrastrando y soltando a la sección Proyectos actuales de la pantalla. La figura 14 muestra los archivos guardados en /mnt/hda1/Documents and settings listos para ser guardados en la unidad de DVD. El gráfico en la parte inferior de la pantalla se muestra el tamaño del archivo (más de 890 MB). Una vez que han puesto todos los archivos que se desea grabar en la sección Proyectos actuales, haga clic en el icono de grabación en la parte superior izquierda de la ventana de aplicación.Aparecerá un cuadro de diálogo similar a la que se muestra en la figura 15.
217 Figura 15. Inicio del proceso de grabación de archivos en un CD o DVD
Después de establecer cualquier configuración específica que necesite, haga clic en el botón Grabar para iniciar el proceso de escritura. Cuando k3b finaliza su proceso, puede navegar el CD / DVD para asegurar que los datos estén debidamente almacenados.
Enviándose Datos a si Mismo (correo electrónico)
Otra opción que muchas veces se pasa por alto es el usar el correo electrónico para enviar los datos a si mismo. Con los tamaños actuales de gran capacidad tanto en los servicios de correo basados en la web (gracias, Gmail!) y servicios de correo electrónico personal, generalmente puede enviar todos los datos que usted necesita respaldar a través del correo electrónico, sin preocupaciones sobre la capacidad de la cuenta de correo. Sin embargo, si aún es necesario tener en cuenta que su servicio de correo electrónico probablemente tiene algún límite en el tamaño de los archivos adjuntos. Por ejemplo, Gmail limita los archivos adjuntos a un máximo de 10 MB.
218 Para guardar los datos por correo electrónico, sólo tiene que utilizar los programas de correo KMail o Thunderbird, disponibles en Knoppix > Internet. Establecer si su correo utiliza cuenta POP o IMAP, y luego adjuntar sus archivos a recuperar y enviar el correo. Si utiliza una cuenta de correo electrónico basada en la Web, como Yahoo! o Gmail, puede simplemente usar Firefox u otro navegador Web y adjuntar los archivos como lo haría normalmente.
Precaución: Tenga en cuenta que el correo electrónico no es normalmente un método de cifrado de transmisión, lo que significa que alguien podría interceptar sus archivos y ser capaz de leer los datos.
Copia de datos a través de la red
Knoppix incluye la capacidad para transferir los archivos importantes a través de una red. La forma más fácil de **** conseguir esto es que Knoppix ejecute un servidor SSH por usted. SSH proporciona la capacidad interactiva para acceder (o “loggearse”) a su sistema de Knoppix, así como la transferencia de archivos, todo a través de una transmisión codificada, lo que significa que nadie debería interceptar su comunicación, siendo muy difícil descifrar sus datos en tiempo real. Si el sistema para que usted está transfiriendo los archivos se encuentra en un Linux o Knoppix , la capacidad de transferir archivos con el protocolo sftp también está incorporado en el sistema. Si está transfiriendo archivos a un sistema Windows, necesita descargar un cliente SFTP (recomendamos una versión gratuita WinSCP, disponible en WinSCP.net)
Para permitir la conexión remota desde otro equipo Linux o Windows y conectarse al sistema de Knoppix del que se desea realizar copias de seguridad, se debe iniciar el servidor SSH Knoppix seleccionando Knoppix> Services> start SSH Server. Una claves que se utilizará para el cifrado de los datgos se genera en la ventana al abrirse. Introduzca una contraseña segura y, a continuación, introduzca por segunda vez la misma contraseña. La contraseña que introduzca aquí se utiliza cuando acceda el sistema a través de SFTP, y es sensible a mayúsculas y minúsculas, así que debe asegurarse de recordar de la contraseña exacta.
Además se necesita conocer la dirección IP del sistema (puede usar el comando ipconfig o ipconfig eth0 para determinar su dirección IP, la cual consta de cuatro conjuntos de números separados por puntos, como por ejemplo 192.168.1.1). Usando WinSCP u otro cliente SFTP / SCP, puede conectarse a su máquina con Knoppix usando la dirección IP.
Introduzca Knoppix como el nombre de usuario y, a continuación, introduzca la contraseña que ha creado anteriormente. Ahora puede navegar por el sistema de archivos para encontrar los archivos que desea copiar al sistema remoto a través de comandos SFTP si se está conectando a través de la línea de comandos,
****SSH (Secure SHell) es el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a máquinas remotas a través de una red
219 o arrastrando y soltando si está utilizando una aplicación gráfica como WinSCP.
Resumen
Knoppix ofrece una gran cantidad de herramientas para recuperación y mantenimiento de Windows que le permiten recuperar el sistema sin ni siquiera iniciar sesión en Windows. Este artículo ha puesto de manifiesto cómo redimensionar el tamaño de una partición Windows usando QTParted y cómo realizar una copia de seguridad y modificar los archivos de Windows en caso de desastre. Con la información proporcionada en este artículo, usted conoce la manera de mantener la cordura la próxima vez que Windows colapse. Sólo asegúrese de no disfrutar la próxima vez que otros usuarios de Windows se enfrentan los problemas; en lugar de ello, entrégueles una copia de Knoppix.
Artículo original de http://www.extremetech.com .
Modificado por William Marin. Cómo modificar el archivo Boot.ini en Windows XP
Id. de artículo:289022 Última revisión:lunes, 06 de agosto de 2007 Versión:3.1
Este artículo se publicó anteriormente con el número E289022
Resumen En este artículo se describe cómo ver y configurar en forma manual el archivo Boot.ini en Windows XP desde el cuadro de diálogo Inicio y Recuperación. En Windows XP, puede buscar rápida y fácilmente el archivo Boot.ini para comprobar y/o editar el archivo. Se recomienda hacer una copia de seguridad del archivo Boot.ini antes de editarlo. Entre las primeras tareas se requerirá modificar la opción de carpeta de manera que pueda ver archivos ocultos y, a continuación, realizar una copia de seguridad del archivo Boot.ini.
220 Guarde una copia de seguridad del archivo Boot.ini
Haga clic con el botón secundario del mouse en Mi PC y, a continuación, haga clic en Propiedades. 1 O bien . Haga clic en Inicio y en Ejecutar, escriba sysdm.cpl y, a continuación, haga clic en Aceptar. 2 En la ficha Opciones avanzadas, haga clic en Configuración en Inicio y . recuperación. 3 En Inicio del sistema, haga clic en Editar. Esto abre el archivo en Bloc de . notas listo para editar. 4 En Bloc de notas, haga clic en Archivo en la barra de Menús y, a . continuación, haga clic en Guardar como. Haga clic con el botón secundario en una área vacía del cuadro de diálogo 5 Guardar como, elija Nuevo en el menú Contexto y, a continuación, haga clic en . Carpeta. 6 Escriba un nombre para la nueva carpeta, por ejemplo temp y presione la tecla . ENTRAR para crear la carpeta llamada temp. 7 Haga doble clic en la nueva carpeta llamada temp y, a continuación, haga clic . en el botón Guardar para guardar una copia de seguridad del archivo Boot.ini.
Editar el archivo Boot.ini
Para ver y editar el archivo Boot.ini: Haga clic con el botón secundario en Mi PC y, a continuación, haga clic en Propiedades. 1. O bien Haga clic en Inicio y en Ejecutar, escriba sysdm.cpl y, a continuación, haga clic en Aceptar. 2. En la ficha Avanzado, haga clic en Configuración en Inicio y recuperación. 3. En Inicio del sistema, haga clic en Editar.
Archivo Boot.ini de ejemplo Éste es un ejemplo de un archivo Boot.ini predeterminado de un equipo que usa Windows XP Professional. [boot loader] timeout=30 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect
Éste es un ejemplo del archivo Boot.ini mencionado antes con una instalación anterior de Windows 2000 en una partición separada.
[boot loader] timeout=30 default=multi(0)disk(1)rdisk(0)partition(1)\WINDOWS [operating systems] multi(0)disk(1)rdisk(0)partition(1)\WINDOWS="Windows XP Professional" /fastdetect multi(0)disk(0)rdisk(0)partition(2)\WINNT="Windows 2000 Professional" /fastdetect
221 Modificar el archivo Boot.ini Si bien puede modificar el archivo Boot.ini mediante el cuadro de diálogo Inicio y recuperación, donde puede seleccionar el sistema operativo predeterminado, cambiar el valor de tiempo de espera o editar manualmente el archivo, el método siguiente utiliza la utilidad de línea de comandos, Bootcfg.exe.
Haga clic en Inicio y, a continuación, haga clic 1. en Ejecutar. 2. En el cuadro de texto Abrir, escriba cmd. 3. En el símbolo del sistema, escriba bootcfg /?. Aparecerán la ayuda y los parámetros para 4. BOOTCFG.exe.
Agregar un sistema operativo En el símbolo del sistema, escriba: bootcfg /copy /d Descripción del sistema operativo /ID.# Donde Descripción del sistema operativo es una descripción del texto (por ejemplo, Windows XP Home Edition) y donde # especifica el Id. de entrada de inicio en la sección de sistemas operativos del archivo BOOT.INI del cual la copia tiene que ser realizada.
Quitar un sistema operativo En el símbolo del sistema, escriba: bootcfg /delete /ID# Donde # especifica el Id. de entrada de inicio que desea eliminarse de la sección de sistemas operativos del archivo BOOT.INI (por ejemplo, 2 para el segundo sistema operativo que aparece en la lista.
Configurar el sistema operativo predeterminado En el símbolo del sistema, escriba: bootcfg /default /ID# Donde # especifica el Id. de entrada de inicio en la sección de sistemas operativos del archivo BOOT.INI que se convertirá en el sistema operativo predeterminado.
Configurar el tiempo de espera En el símbolo del sistema, escriba: bootcfg /timeout# Donde # especifica el tiempo en segundos después del cual se cargará el sistema operativo predeterminado.
Abrir el archivo Boot.ini para comprobar los cambios Haga clic con el botón secundario en Mi PC y, a continuación, haga clic en Propiedades. 1. O bien Haga clic en Inicio y en Ejecutar, escriba sysdm.cpl y, a continuación, haga clic en Aceptar. 2. En la ficha Avanzado, haga clic en Configuración en Inicio y recuperación. 3. En Inicio del sistema, haga clic en Editar.
222 i