Información de Virus.
Buenos días.
Quisiera saber si en mi equipo tengo virus o no, pero sin necesidad de pasar un anti-virus. Se que los virus suelen modificar ficheros y el registro de Windows, pero no se que parte del mismo.
Adiós.
Quisiera saber si en mi equipo tengo virus o no, pero sin necesidad de pasar un anti-virus. Se que los virus suelen modificar ficheros y el registro de Windows, pero no se que parte del mismo.
Adiós.
1 Respuesta
Respuesta de memmoch
1
Bueno pues voy a emprender este ardua tarea para que quede un poco más claro como funcionan los "tipicos" virus.
V1RuS Exe / Com
================
Para detectar si tenemos un virus instalado en nuestro ordenador,
un virus de esos "antiguos" que se quedaban residentes en la memoria (TSR)
Y que infectaban a todo ser viviente que se ejecutara, deberemos de crear
el siguiente fichero, este fichero es útil para crear un fichero .EXE /.COM
Cogeremos el editor que más nos guste y llenaremos todo el fichero de
instrucciones "nop", esta instrucción no hace nada, eso es lo sorprendente
de asm, se "inventaron" una función que no hacia nada. Bueno al meollo de la cuestión
se llena de instrucciones no y luego se rellena con la instrucción para salir al DOS,
que este caso es "mov 0,4ah" y después en otra linea "int 21h".
Si esto se hace con un editor normal kedaria algo asip:
No
No
No
...
...
mov 0,4ah ' Liberamos la memoria
int 21h
Después debemos de compilarlo y crear el .exe o el .com, eso se efectúa
con el debugger de toda la vida de DOS o por el contrario podemos escribirlo
en hexadecimal con el editor Hiew y ya tendríamos el fichero "compilado".
Una vez que tenemos dicho fichero lo ejecutamos, y después con el hiew vemos que
ha pasado, si se visualiza nuevas lineas de código que nosotros no hemos puesto
podemos estar seguros de que nuestro ordenador esta infectado. (Aquí no se explica
como solucionamos la limpieza del virus y como detectamos que tipo de virus es).
V1Rus W1nd0ws
==============
Estos virus son más fácil de detectar, salvo raras excepciones que aquí no comentare.
Los virus bajo windows siguen una puta con la que podemos determinar si estamos
infectados, estos virus para que se ejecuten por primera vez y se queden
residentes en la memoria, necesitan se ejecutados cuando arrancamos windows,
para esto se basan en las siguientes técnicas:
Poner una linea de comando en autoexec.bat o en win.ini en la rama load= o en run=
Estos ficheros podemos observarlos y editarlos cómodamente con el comando
msconfig de windows.
Los virus de windows también tienes especial predilección por instalarse en el registro de windows
para poder autoejecutarse para esto veremos todos los programas que se inician en windows al arrancar,
debemos de irnos con la herramienta regedit de windows a la siguiente ramificación:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Tambien deberemos de mirar las siguientes ramas
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunService
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
Otra forma de asegurarnos que no somos infectados por alguna macro maliciosa, es borrar
el fichero "normal.dot" que tenemos cuando instalamos Word (este fichero por defecto estará
en una carpeta de Office\Modeles ). Una vez que tenemos este fichero borrar, lo que hacemos es
ejecutar word sin abrir ningún fichero. Cuando hacemos esto, word comprueba si existe este fichero,
si no existe crea uno nuevo, de esta manera ya tenemos un normal.dot que no esta infectado y podemos
ver cuanto okupa en bytes (ver los bytes de un fichero aconsejo hacerlo a través de un simple "dir"
De Ms-DOs ke es mas fiable), a continuacion abrimos el fichero ke sospechamos esta infectado de word
y si normal.dot aumenta de tamaño ... tachan ! Podemos estar seguros de ke tenemos un virus.
Bueno se me queda mutxo en la bandeja, pero creo que con estos conocimientos estaremos un poco más alerta
para saber como funciona esto bichejos.
V1RuS Exe / Com
================
Para detectar si tenemos un virus instalado en nuestro ordenador,
un virus de esos "antiguos" que se quedaban residentes en la memoria (TSR)
Y que infectaban a todo ser viviente que se ejecutara, deberemos de crear
el siguiente fichero, este fichero es útil para crear un fichero .EXE /.COM
Cogeremos el editor que más nos guste y llenaremos todo el fichero de
instrucciones "nop", esta instrucción no hace nada, eso es lo sorprendente
de asm, se "inventaron" una función que no hacia nada. Bueno al meollo de la cuestión
se llena de instrucciones no y luego se rellena con la instrucción para salir al DOS,
que este caso es "mov 0,4ah" y después en otra linea "int 21h".
Si esto se hace con un editor normal kedaria algo asip:
No
No
No
...
...
mov 0,4ah ' Liberamos la memoria
int 21h
Después debemos de compilarlo y crear el .exe o el .com, eso se efectúa
con el debugger de toda la vida de DOS o por el contrario podemos escribirlo
en hexadecimal con el editor Hiew y ya tendríamos el fichero "compilado".
Una vez que tenemos dicho fichero lo ejecutamos, y después con el hiew vemos que
ha pasado, si se visualiza nuevas lineas de código que nosotros no hemos puesto
podemos estar seguros de que nuestro ordenador esta infectado. (Aquí no se explica
como solucionamos la limpieza del virus y como detectamos que tipo de virus es).
V1Rus W1nd0ws
==============
Estos virus son más fácil de detectar, salvo raras excepciones que aquí no comentare.
Los virus bajo windows siguen una puta con la que podemos determinar si estamos
infectados, estos virus para que se ejecuten por primera vez y se queden
residentes en la memoria, necesitan se ejecutados cuando arrancamos windows,
para esto se basan en las siguientes técnicas:
Poner una linea de comando en autoexec.bat o en win.ini en la rama load= o en run=
Estos ficheros podemos observarlos y editarlos cómodamente con el comando
msconfig de windows.
Los virus de windows también tienes especial predilección por instalarse en el registro de windows
para poder autoejecutarse para esto veremos todos los programas que se inician en windows al arrancar,
debemos de irnos con la herramienta regedit de windows a la siguiente ramificación:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Tambien deberemos de mirar las siguientes ramas
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunService
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
Otra forma de asegurarnos que no somos infectados por alguna macro maliciosa, es borrar
el fichero "normal.dot" que tenemos cuando instalamos Word (este fichero por defecto estará
en una carpeta de Office\Modeles ). Una vez que tenemos este fichero borrar, lo que hacemos es
ejecutar word sin abrir ningún fichero. Cuando hacemos esto, word comprueba si existe este fichero,
si no existe crea uno nuevo, de esta manera ya tenemos un normal.dot que no esta infectado y podemos
ver cuanto okupa en bytes (ver los bytes de un fichero aconsejo hacerlo a través de un simple "dir"
De Ms-DOs ke es mas fiable), a continuacion abrimos el fichero ke sospechamos esta infectado de word
y si normal.dot aumenta de tamaño ... tachan ! Podemos estar seguros de ke tenemos un virus.
Bueno se me queda mutxo en la bandeja, pero creo que con estos conocimientos estaremos un poco más alerta
para saber como funciona esto bichejos.
