Es común en estos tiempos, que una memoria USB o cualquier dispositivo flash como SD, se infecten por un virus que convierte todas las carpetas en accesos directos y con ello no podamos acceder al contenido de las mismas, para esos casos especiales les comparto tres opciones.

1. Desde el Símbolo del Sistema de Windows.

Podemos eliminarla de forma manual desde el símbolo del sistema de Windows, para esto en Ejecutar, escribimos CMD y presionamos la tecla enter, una vez dentro del símbolo del sistema, escribimos la letra de la unidad USB y dos puntos (:), ya que estamos en la memoria, escribimos el siguiente comando: Attrib /d /s -r -h -s *.*, que significa:

• Attrib: Para visualizar o modificar atributos
• /d: Para poder procesar carpetas
• /s: Para poder procesar subcarpetas
• -r: Quitar atributos de solo lectura
• -h: Quitar atributos de oculto
• -s: Quitar atributos de sistema
• *.*: Para archivos de cualquier nombre, con cualquier extensión

2. Con un archivo .bat

Si no deseas hacer el procedimiento anterior, solo descarga este archivo bat ReparaUSB ya listo para usar, descomprímelo con Winrar o cualquier programa similar, cópialo a la raíz de la memoria y dale doble clic. Toma en cuenta que esto puede tardar, al terminar elimina carpetas y archivos extraños.

Descargar Archivo ReparaUSB.

3. Desde Linux o un LiveCD de Linux.

Una vez iniciado Linux, o el LiveCD de Linux, conecta tu memoria, elimina los accesos directos y las carpetas extrañas como recycler o cualquier otra carpeta o archivo que tenga caracteres extraños, el virus es un ejecutable de nombre raro, así que elimínalo, una vez hecho lo anterior, conecta de nuevo tu USB y comprueba que ya no existe tal problema.

¡Interesante! ¿No lo crees…?

Este martes Microsoft ha publicado tres boletines de seguridad (del MS10-087 al MS10-089) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft uno de los boletines tiene un nivel de gravedad “crítico”, mientras que los dos restantes son de grado “importante”. En total se han resuelto 11 vulnerabilidades.

El boletín “crítico”, con identificador MS10-087, presenta una actualización para corregir cinco vulnerabilidades en Microsoft Office. La más grave podría permitir la ejecución remota de código si un usuario abre, u obtiene una vista previa, de un mensaje de correo electrónico RTF especialmente diseñado. Afecta a Microsoft Office XP, 2003, 2007 y 2010, así como las versiones 2004 y 2008 de Microsoft Office para Mac.

Con el identificador MS10-088 ofrece la corrección a dos vulnerabilidades en Microsoft PowerPoint, que podrían permitir la
ejecución remota de código si un usuario abre un archivo de PowerPoint especialmente diseñado.

El tercer y último boletín, el MS10-089, soluciona cuatro vulnerabilidades en Forefront Unified Access Gateway (UAG). El más grave de los problemas podría permitir la elevación de privilegios si un usuario visita un sitio web afectado mediante una URL especialmente diseñada.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.

Los enlaces aquí los tienes:

Boletín de seguridad de Microsoft MS10-087 – Crítico
http://www.microsoft.com/spain/technet/security/bulletin/ms10-087.mspx

Boletín de seguridad de Microsoft MS10-088 – Importante
http://www.microsoft.com/spain/technet/security/bulletin/ms10-088.mspx

Boletín de seguridad de Microsoft MS10-089 – Importante
http://www.microsoft.com/spain/technet/security/bulletin/ms10-089.mspx

En su nueva versión 2011,nos permite:

• Navegar y buscar con tranquilidad gracias a la protección en tiempo real de AVG LinkScanner®
• Permanecer protegido en las redes sociales con la Protección de redes sociales de AVG
• Disfrutar de un equipo más rápido con el análisis inteligente de AVG, que trabaja cuando usted está ausente y pasa a funcionar en modo de baja prioridad cuando vuelve
• Permanecer actualizado gracias a la información sobre amenazas más reciente de la Red de protección de la comunidad de AVG y la Tecnología de nube protectora de AVG.

AVG es compatible con Windows 2000/XP/Vista/7, y requiere de un procesador de 1.8 mhz o superior, RAM 512 mb, y 550 mb en disco duro.

Puedes descargarlo desde la página: http://free.avg.com/es-es/download-free-antivirus el cual el instalador es un archivo de 4 mb que necesita de conexión a internet para instalarse. O bien, puedes descargar el instalador completo de 135 mb desde aquí: http://af-download.avg.com/

Que lo disfrutes…

“Windows no puede encontrar el archivo ‘csrcs.exe”. Asegurese de que la ruta y el nombre del archivo están escritos correctamente y vuelva a intentarlo. Para buscar un archivo, haga click en el botón inicio y luego en Buscar”.

Si bien el virus ha sido eliminado el proceso aún continua intentando ejecutarse; para poder eliminarlo tenemos que seguir estos sencillos pasos:

1. Da clic en Botón Inicio, Ejecutar y escribe: Regedit.
2. En el regedit, hacen click en el Menú Edición y luego en Buscar.
3. Escribimos: scrcs.exe y presionamos el botón: Buscar siguiente.
4. En cuanto salga la entrada le damos clic con el botón derecho y elegimos eliminar.
5. Volvemos al menú Edición, Buscar y volvemos a buscar el proceso scrcs.exe, continuamos eliminando hasta que ya no haya ninguno.
6. Una vez que hemos eliminado las entradas encontradas, solo reiniciamos la Computadora y puedes ver como el molesto mensaje ha desaparecido.

Simple ¿Verdad? Espero tus sugerencias en los comentarios. Que lo disfrutes…

Muchas veces me ha sucedido que algún virus modifica algunos archivos para que no puedan ser eliminados, modificados o renombrados, aún y cuando se haya desinfectado el equipo en cuestión, el problema con los archivos persiste.

Hoy les presento 2 opciones para poder eliminar estos archivos. La primera requiere un poco más de conocimientos, si bien no es una técnica muy avanzada, a algunas personas se les hará más tediosa. La segunda opción es muy simple de realizar.

1. Eliminar archivos desde Símbolo del Sistema (cmd)

• Abre el símbolo de sistema (Botón Inicio, Ejecutar, escribir CMD y presionar enter).
• Navega hasta la ubicación donde está el archivo. (Con CD.. puede salir de la carpeta que aparece por defecto, con CD NOMBREDECARPETA, puedes entrar a la carpeta donde está el archivo; este proceso de entrar a la carpeta debe repetirse las veces necesarias hasta llegar a la carpeta indicada.)
• Presiona CTRL + ALT + DEL, haz click en administrador de tareas y selecciona la pestaña procesos.
• Termina el proceso explorer.exe seleccionándolo y presiona el botón “Terminar proceso”
• Regresa al símbolo del sistema y elimina el archivo escribiendo: DEL NOMBREDEARCHIVO
• Inicia de nuevo el administrador de tareas presionando CTRL-ALT-DEL
• Ve a Archivo, Nueva tarea.
• Escribe explorer.exe y presiona Aceptar.

NOTA: NOMBREDECARPETA, es el nombre de tu carpeta. NOMBREDEARCHIVO es el nombre de tu archivo que no se puede eliminar.

2. Con la aplicación UNLOCKER.

Unlocker es una utilidad que desbloquea archivos que han sido bloqueados por algún virus, además nos permite eliminar o renombrar el archivo. Para utilizar Unlocker, basta con dar clic con el botón derecho del ratón, y seleccionar la opción Enviar a Unlocker; acto seguido Unlocker desbloquea el archivo, si no lo puede desbloquear nos permite eliminar o renombrar.

Como ves esta aplicación es muy fácil de utilizar, es compatible con Win2000/XP/2003/Vista/7, es gratuita y la puedes descargar de aquí: http://ccollomb.free.fr/unlocker/download.php

Con cualquiera de estas dos opciones solucionarás ese pequeño inconveniente. Si conoces algún otro método compártelo en los comentarios.

Que lo disfrutes.

Microsoft acaba de publicar el boletín de seguridad MS10-046 de carácter crítico, en el que se soluciona la ya conocida vulnerabilidad relacionada con archivos LNK (accesos directos). La publicación con carácter de urgencia se debe a que se habían facilitado todos los detalles de la vulnerabilidad y además está siendo aprovechada de forma activa.

Ya se había publicado un exploit, así como los detalles técnicos, que hacían posible explotar esta vulnerabilidad. En aquel momento ya vaticinamos, que Microsoft posiblemente adelantaría la publicación de la solución a este problema a su ciclo habitual de actualizaciones (programado para el 10 de agosto).

El problema afecta a Windows XP, Vista, Windows 7, Windows Server 2008 y Windows Server 2008 R2. Tal y como reconoce Microsoft, en la actualidad hay múltiples familias de malware que se aprovechan de esta vulnerabilidad y esta actualización protege contra cualquier intento de explotación.

Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible, mediante Windows Update o descargando los parches, según versión, desde las direcciones facilitadas en el propio boletín de seguridad: http://www.microsoft.com/technet/security/Bulletin/MS10-046.mspx

Panda Cloud Antivirus es una versión gratuita que trabaja desde internet para protegerte eliminando virus, troyanos, spyware y otros tipos de malware; cuando analilza en busca de virus se conecta a una red de servidores donde está la firma de virus, por lo tanto, no es necesario que se actualice ya que trabaja conectado a red. El resultado de esto es un antivirus que requiere de pocos recursos del sistema.

La interfaz es muy simple y fácil de usar, por lo cual no tendrás problema alguno al ejecutarlo. El único detalle es que requiere de conexión a internet para funcionar con mayor certeza el análisis, por ello si tienes servicio de internet, te recomiendo instalarlo.

Descargar aquí: http://www.cloudantivirus.com/es/descargar/cloud-antivirus/free

Si tienes alguna observación déjala en los comentarios. Que lo disfrutes.

Esta extensión estaba disponible desde principios de Junio y ha sido descargado aproximadamente 1800 veces, hoy se encuentra retirada de las páginas de complementos de Mozilla.

Sniffer estaba programado para enviar las contraseñas que el usuario introducía en los formularios a un servidor remoto. El problema se encuentra en el sistema que tiene Mozilla para revisar el código de las extensiones, que buscan de forma automática malware, pero no han detectado esta extensión al no cumplir con los parámetros habituales del malware, pero sin embargo una sencilla revisión manual del código ha revelado su auténtico propósito.

Desde Mozilla han respondido de forma rápida retirando el complemento y anuncian que cambiarán el sistema de revisión de los complementos para tratar de que este tipo de extensiones no vuelvan a empañar uno de las razones por las cuales muchos usuarios eligen este navegador.

Es importante resaltar que antes de instalar cualquier extensión, debemos investigar si de verdad está libre de código malicioso.

Se ha descubierto un nuevo ataque contra Windows (en junio), que aprovecha una vulnerabilidad previamente desconocida. Lo interesante (y peligroso) en este caso, es que esta vulnerabilidad ha sido utilizada como nuevo método “revolucionario” para eludir la desactivación de AutoRun y ejecutarse bajo cualquier circunstancia cuando se inserta en el sistema una memoria USB extraíble, por ejemplo. Además, el troyano ha sido firmado digitalmente por una compañía legítima.

¿Cómo ha sido descubierto?

VirusBlokAda descubrió, ya el 17 de junio (lo que da una idea de la posible cantidad de tiempo que esta amenaza lleva atacando silenciosamente) módulos de un malware nuevo. Pasadas unas semanas, alertaron sobre algo realmente inusual en este troyano: su forma de propagarse a través de memorias USB prescindiendo del tradicional archivo autorun.inf, que permite la ejecución automática cuando se detecta un dispositivo extraíble y funcionalidad contra la que Microsoft lleva tiempo luchando.

El troyano usaba en cierta manera, una vulnerabilidad (para la que no existe parche) en archivos .LNK (accesos directos), que permite la ejecución de código aunque el AutoPlay y AutoRun se encuentren desactivados. A efectos prácticos, implica que se ha descubierto una nueva forma totalmente nueva de ejecutar código en Windows cuando se inserta un dispositivo extraíble, independientemente de que se hayan tomado todas las medidas oportunas conocidas hasta el momento para impedirlo.

¿Para qué estaba siendo usado?

Independientemente de su método de propagación, el investigador Frank_Boldewin comenzó a analizar una de las muestras y descubrió que el objetivo del malware estaba dirigido específicamente contra sistemas SCADA WinCC de Siemens, que se ejecutan en Windows. Dentro de su código contenía la contraseña por defecto “2WSXcder” para la base de datos central del producto de Siemens, y al parecer el fabricante recomienda no modificarla. Por tanto el troyano conseguía acceso de administración de la base de datos. Los sistemas “Supervisory Control and Data Acquisition (SCADA)” son programas críticos de producción industrial: toman datos muy sensibles de sensores de una fábrica, por ejemplo, y los envían a un sistema central para ser controlados. Se usan en grandes plantas de tratamiento de aguas, control eléctrico, de tráfico… Por tanto, se trata de un malware destinado a un perfil muy diferente del usuario “medio”. En otras palabras, malware para al espionaje industrial. Se está usando sobre todo en Indonesia, India e Irán.

Un malware muy profesional

El troyano se esconde con habilidades de rootkit para pasar desapercibido en los sistemas en los que consigue instalarse. Llama la atención, como se ha mencionado, el uso de una vulnerabilidad desconocida hasta ahora en los accesos directos, lo que da una nueva vuelta de tuerca a la pesadilla del AutoRun para Microsoft. Lejos de usar el tradicional autorun.inf (contra el que ya se puso remedio), se propaga en llaves USB en forma de archivos del tipo ~WTR4132.tmp, por ejemplo. Se parecen mucho a los ficheros temporales de Word que usa Office internamente cuando un fichero está en uso.

Para colmo, el troyano utiliza para su funcionalidad de rootkit unos drivers firmados digitalmente por la famosa empresa china Realtek. Esto significa que, en principio, solo Realtek puede ser responsable de ese código… excepto que su clave privada haya sido comprometida de alguna forma, cosa que no se ha confirmado todavía. En cualquier caso, Microsoft, muy acertadamente, ha trabajado con Verisign para revocar en sus sistemas los certificados (con el apoyo de Realtek también). Esto quiere decir que los sistemas bien configurados (que no puedan instalar drivers no firmados o firmados con certificados revocados) no sufrirán este problema… eso sí, tendrán que actualizar su lista de certificados a través de Windows Update

El uso de certificados legítimos es de lo más interesante para un malware, y lo hace una pieza casi única. Otros troyanos han sido firmados antes, pero no nos consta que se haya realizado la firma con un certificado válido de una empresa reconocida.

¿Y ahora qué?

El peor de los escenarios se presenta ahora para Microsoft, puesto que se han hecho públicos todos los detalles para aprovechar el fallo y, por tanto, se espera que aparezcan nuevos troyanos aprovechando una peligrosa vulnerabilidad para la que todavía no hay parche. La situación es, por tanto muy grave.

La nueva de ejecutar código en Windows es cuando se inserta un dispositivo extraíble, independientemente de que se hayan tomado todas las medidas oportunas conocidas hasta el momento para impedirlo. El fallo se aprovecha a través de archivos LNK (accesos directos) y supone un duro varapalo para Microsoft, pues los atacantes han conseguido descubrir la manera de eludir todas las medidas que se han tomado contra la ejecución automática en Windows.

Se espera pues un incremento de malware que se propague por dispositivos extraíbles puesto que en estos momentos (y hasta que Microsoft saque un parche), todos los Windows, independientemente de que esté actualizados y bien configurados, podrían llegar a ejecutar un fichero de forma “silenciosa” si se inserta un dispositivo extraíble como una llave USB.

Por ahora, la única forma de que la vulnerabilidad no funcione es realizando el siguiente cambio (aunque se perderá funcionalidad, por lo que es conveniente realizar una copia de seguridad para restaurar el valor cuando el problema esté solucionado):

* Poner en blanco el valor predeterminado (default) de la rama del registro:
HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler

* Detener y deshabilitar el servicio “cliente web” (WebClient).

No está de más recordar que no se deben usar dispositivos extraíbles de dudosa procedencia. Aun así, se deben tomar las precauciones oportunas incluso contra los dispositivos en los que se confíe.

Lo más probable es que Microsoft publique el parche en cuanto esté disponible, independientemente de su ciclo de actualizaciones. Ahora que el problema es público y puede ser aprovechado por cualquiera, suponemos que muy posiblemente se adelante con respecto a la siguiente tanda de parches (programada para el 10 de agosto) o se retrase levemente con respecto a ésta. Esperamos en cualquier caso que no haya que esperar hasta septiembre para obtener una solución oficial.

A continuación enlisto las principales herramientas, que tal vez no son las únicas ni las mejores, pero son las que he utilizado.

USB Disk Security

Esta es una muy completa herramienta que elimina todo clase de virus y malware de las memorias. Al momento de conectar la memoria a la computadora se inicia el análisis, esto debido a que trabaja residente; las amenazas se enumeran y se muestran las acciones a realizar. Además permite eliminar aplicaciones que arrancan con el sistema operativo.

Idioma: Inglés

Licencia: Evaluación (Comercial)

Compatible: Windows 2000, XP, Vista, 7

Descargar aquí: http://www.zbshareware.com/download.html

MX One Antivirus

Mx One es un antivirus diseñado para protejer los dispositivos de almacenamiento extraíble como memorias usb( también conocidas como pendrives) , iPod™, mp3, mp4, memorias M2, SD , microSD, Entre muchos más dispositivos de una forma eficaz y completamente gratuita.

Idioma: Español

Licencia: Freeware (Gratis)

Compatible: Windows 2000, XP, Vista, 7

Descargar aquí: http://www.mxone.net/descargas.php

Panda USB Vaccine

Panda USB Vaccine es una sencilla herramienta de Panda Security que tiene como objetivo evitar que nuestro ordenador se infecte por culpa de un CD/DVD o USB infectados. Desactiva la opción de autoarranque de un disco óptico o de una memoria USB, opción que usan muchos virus para infectar ordenadores.

Idioma: Inglés

Licencia: Freeware (Gratis)

Compatible: Windows XP, 2003, Vista, 7

Descargar aquí: Panda-USB-Vaccine

¿Conoces alguna otra herramienta que te haya funcionado? Compártela en los comentarios.