sábado, 28 de enero de 2012

El día de la protección de datos


Hoy es el día de la protección de datos personales. No voy a negar que me enteré hace poco tiempo. Sobretodo, gracias al Colegio de Ingenieros Técnicos en Informática.

Es muy interesante saber que es el sexto año que se celebra. Y se escogió este día porque es el aniversario de cuando se firmó el Convenio 108 (¿cuál?) que regulaba el tratamiento informatizado de los datos de carácter personal.

Es importante saber los derechos y deberes que se tienen con respecto a este tipo de datos. Si son básicos (teléfono, dirección postal...) , si son protegidos (número de cuenta corriente) o especialmente protegidos (por ejemplo, salud).

Hay que saber que tenemos derechos con respecto a qué pueden hacer con esos datos. Y qué tipo de tratamiento podrán realizar. Podrías denegarles el permiso para que la empresa X a la que se lo entregas, envíen esos datos a su filial Y. Y mucho menos a terceros. O impedirles que los usen para que te envíen publicidad o que te spameen con llamadas intempestivas a la hora de la si... est... a. Me cuesta decirlo. Nunca aplico esa tarea. Fijaos que me ha costado decirla.

Volvamos al tema, que es serio. Si somos nosotros los que vamos a tratar esos datos, tenemos que acordarnos de aplicar una serie de normas según el tipo de dato del que se trate. Por ejemplo (todo esto de memoria, y eso que tengo libros al respecto a mi vera), para los datos protegidos, habría que poner contraseñas de acceso. Y si es para datos especialmente protegidos, incluso, haría falta incluso, utilizar un cifrado que haga practicamente imposible* descifrarlo. (*No me sale la palabra exacta: Que en eventual caso de que alguien quiera intentar romperlo, para cuando lo haya conseguido, ya habrá cambiado la clave. ¿Se entiende? Si conseguís dar con la palabra adecuada, gracias por ponerla en el comentario). Incluso, como curiosidad, hay que acordarse de que se pueden encontrar en papel. ¿Vamos a cifrar también el papel? No, pero si pones un furgón de seguridad (ejemplo de uno de los libros de Informática 64), ya tienes controlado el problema de la interceptación de esos datos.

¿Qué podemos hacer para protegernos? Tener cuidado con la configuración de cada una de las redes sociales a las que tenemos acceso. Vigilar si queremos que nos puedan encontrar en esas redes si se realiza una búsqueda de nosotros en Google. Si se tiene una dominio, anonimizarlo para que el whois no muestre nuestros datos (como el que tiene registrado un dominio que parecía que pertenecía a una entidad pública y resulta que era de un particular de Burgos. No hace falta dar más datos al respecto). Si estamos en listas de distribución, vigilar la firma para no poner directamente el e-mail (yo ya pagué por ese pecado).

Algo que hice hace unos meses. Al cambiar el contrato familiar a uno individual, me enviaron la típica carta de bienvenida con la que yo les daba mi permiso tácito de enviarme información publicitaria de cualquier modo. Lo del permiso tácito significa "por mi comportamiento". Para resumirlo: si no les decía lo contrario, en un mes empezaban a enviarme spam de cualquier forma. A semana y pico de acabar el plazo, (por dejarlo pasar), envié una carta certificada a la dirección que me decían para denegarles ese permiso. De momento no  he recibido una sola noticia suya con lo que a publicidad se refiere.

Las dos últimas cosas serían: Si tienes alguna queja, puedes poner una denuncia en la Agencia Española de Protección de Datos. Ellos estudiarán el caso y pondrán la multa correspondiente (por lo tanto, irá a la saca del estado). Si haces tratamiento de datos de tus clientes o empleados, y no hay una norma explícita que haga referencia a tu caso, también puedes enviarles una consulta a partir de la cual, podrán hacer más explícitos ciertos casos como el tuyo.

Y... esto es más o menos lo que sé, o lo que tengo entendido, sobre la protección de datos. ¿Qué podéis contar vosotros al respecto? Ya sabéis que podéis dejar comentarios.

lunes, 23 de enero de 2012

Eicar - fichero de pruebas de antivirus

Siento decir que no me voy a posicionar en los acontecimientos de estos días. Es... Mientras escribía esto me estaba posicionando. Aiiiinnnsss... Bueno. Que no se cómo expresar lo que pienso y es mejor que lo deje para otros foros y para otro momento. Aún así, si no habéis tenido tiempo de leerlo, he participado en el blog de un amigo explicando un poco las contramedidas para paliar un DoS. Por favor, si hubiese algún comentario al respecto, supongo que será mejor ponerlo en dicho(s) post(s). ¿No? :)

Hace tiempo que quería hablar de este fichero. Pero... ¡Se me han adelantado! No será la primera vez que alguien hable de este fichero. Ni mucho menos. A lo mejor el problema que veo es que está muy reciente el post de Chema y que me dará la sensación de que me ha dado por hablar de este sistema porque él ya lo hizo hace unos días.

Después de un tiempo rumiándolo, creo que voy a postear un poco sobre cómo es este (¿estos?) fichero, y otros ejemplos de aplicación.

Primero. ¿De qué trata Eicar? Eicar es está compuesto de fichero DOS (y no de texto, como me parecía recordar) que se pretende que todos los antivirus lo detecten como si de un virus se tratase. El resultado de ejecutarlo es que devuelve uan cadena de "68 bytes ASCII imprimibles":

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*


También se puede ampliar la longitud de la cadena hasta los 128 caracteres "en blanco" que tienen que ser  " 'espacio en blanco', tab, LF, CR y CTRL-Z".

La descarga se presenta de la siguiente manera:

Presentación de los distintos tipos de descargas

Estos son los distintos formatos en los que te puedes encontrar el fichero. De hecho, nada más intentar descargarlo, mi antivirus me ha preguntado qué hacer y al poco tiempo, me ha redirigido a una página suya. ¡Mi antivirus funciona!

Haciendo memoria, cada una de las presentaciones tenía un propósito. Ver si se detecta el eicar.com directamente. Ver si añadiendo una extensión más el sistema también lo reconoce (¿era para esto el añadir la segunda extensión?). Ver si se es capaz de detectar un virus dentro de un fichero comprimido. Ver si el anidamiento de ficheros comprimidos es capaz de detectarlo también...

La pregunta es: ¿qué interés puede tener probar todo esto? Ya lo decía Chema, probar que la detección de virus es efectiva. ¿Pero no lo es siempre? Una veces sí y otras...

Por poner un ejemplo, que es con el que descubrí este fichero años ha. Quieres que cuando te descargues un fichero, antes de que llegue a tu ordenador, se sepa si es un virus potencial o no. Eso se puede hacer con un proxy. Si ese el servicio de proxy pasa por el antivirus todos los ficheros que te descargas antes de enviártelo, habrá más seguridad de que no sea una amenaza. Y dado que sabemos que los bichos se pueden presentar de muchas formas, es conveniente probarlas. 

Si a la hora de probar alguna de estas amenazas no obtenemos un resultado como "infectado" es que algo está mal configurado o que el antivirus es una chusta. 

Antes de que se me olvide (que ha estado a punto de pasar), esta es la página con la explicación oficial sobre el fichero. A la izquierda podréis acceder a las descargas. Si os dais cuenta, hay cosas que he puesto entrecomilladas porque vienen tal cual en el sitio. 

Ya sabéis que como siempre, podéis comentar lo que creáis conveniente de este artículo. 

domingo, 22 de enero de 2012

People Questions

Un amigo me ha pedido un favor. Le he escrito un artículo sobre los ataques de denegación de servicio. ¡¡¡Y lo he hecho encantado!!!

Su blog es People Question, y ha estado llevando minuto a minuto el caso del cierre de Megaupload por parte de las autoridades de EE.UU, la detención de sus responsables y la reacción de la comunidad internauta.

Como podréis ver en el post... Mmmmh... Mejor os dejo que lo descubráis vosotros mismos. Pero viene que ni pintado con lo que respecta a las acciones que está tomando la ciudadanía. No se trata de otra cosa que sumarse a los ataques de DoS que está llevando a cabo Anonymous. No se dónde vi, habían montado una plataforma para sumarse a dichos ataques. Sobra decir, tal y como ya comento en dicho blog (por si no lo leéis) que dichas acciones pueden acarrear acciones penales.

Como de costumbre, si queréis decir algo al respecto, podéis hacerlo tanto en el post del blog de mi amigo como en este.

Espero no olvidarme de nada. Si fuera así actualizaría este post.

jueves, 12 de enero de 2012

Accesibilidad -- Lupa y ZoomIt

¡Hola a todos! 

Volvemos de las vacaciones. Otra vez a currar después de una temporada sin pasar por la ofi... ¡Oye! ¡Espera! ¡¡¡Si sigo de vacaciones!!! Bueno. Pero la mayoría de la gente estará currando. 

El título de este post lo tengo reservado de hacer... pufff. ¿Año y medio? ¿Casi dos años? No se. Eso sí, no estaba escrito. 

Creo recordar que fue en el Asegur@IT 7, de Informática 64, que se hizo en Barcelona, donde vi una idea que estaba muy bien. Lo primero de todo, vamos a lanzar una pregunta:

¿Cuántos de vosotros han asistido a una presentación y no han visto absolutamente nada de lo que se mostraba en la pantalla?

Seguro que muchos. ¿A que sí? Y eso puede ser varias razones. Una, porque estamos muy cegatos. Otra, porque la letra se ve pequeña a una cierta distancia... ¿Cómo solucionarlo? Hay varias opciones.

Una, descargando uno de los programas del Sysinternals, que se llama Zoomit.



Con éste se pueden hacer varias cosas. La primera de todas, ampliar en toda la pantalla la zona donde se está mostrando el puntero. Por ejemplo, este es el resultado de ampliar una zona determinada. Lo que veis aquí era la pantalla entera. 

Pantallazo de todo lo que mostraba mi monitor.

También permitiría dibujar líneas o escribir texto encima de lo que se quiere mostrar:

Escribiendo y señalando cuando se ha ampliado la pantalla con el ZoomIt.

¿Y el sistema operativo no me dejaría hacerlo? Sí. No hace falta descargarse nada para poder mostrar presentaciones ampliando la pantalla. Y esto lo que vi por primera vez en el Asegur@IT 7: utilizar la lupa de la accesibilidad de Windows. No permitiría señalar la zona deseada o escribir algo sobre ella, pero también sirve:

Ampliando la pantalla con la accesibilidad de Windows.

Como se puede ver, se puede utilizar para resaltar más esas partes que queremos mostrar sin perder de vista otras zonas. Esta es una de las opciones que se pueden utilizar. Si queremos, podemos utilizar la pantalla completa (que sería parecido al ZoomIt) o la lupa, que sería un recuadro ampliando la zona donde está el puntero, dejando el resto de la pantalla intacta. 

Ahora dejo caer: ¿Conocéis otras herramientas o trucos para ampliar la pantalla para que las presentaciones se puedan ver bien cuando se utiliza un proyector?

viernes, 6 de enero de 2012

Splitstreaming Windows 7 II

¡¡¡Espero que los Reyes os hayan sido buenos!!! Yo voy a ser bueno y os traigo un regalito para vosotros. ¡Otro post más en 4 días!

Ahora. ¡Al grano!

Tal y como os comenté en el anterior post sobre cómo montar la instalación de Windows 7 lo más actualizada posible, no es posible realizar la integración del SP en la imagen .wim.

Hay muchos manuales que indican cómo hacer esa integración. Pero, me gustaría contarlo a mi manera. Además, algunos detalles que no cuenten, los puedo contar yo. Y si me encuentro con algún problema, también.

Habrá que hacer esta operación por cada versión tipo de instalación que contempla Windows 7, desde la Starter hasta la Ultimate. O, mejor dicho, por la que tengamos la licencia. Las otras no deberían de hacer falta. También habrá que tener en cuenta la arquitectura. En total, nos podríamos encontrar con 10 instalaciones distintas. Por eso era muy reacio a montarlo así. Pero es lo que hay.

Mientras que realizamos estas tareas, vamos a ir descargando el paquete windows6.1-KB976932, con la arquitectura deseada.

Lo primero de todo que vamos a hacer es una instalación normal y moliente hasta esta pantalla:

Pantalla de bienvenida.

Desde esta ventana vamos a pulsar Ctrl+Shift+F3. Reiniciará en modo auditoría (acuérdate de no arrancar desde la unidad de instalación). Estando aquí tendremos que realizar la instalación del SP descargado. A día de hoy sólo tenemos el SP1. Si todo sigue igual cuando saquen el SP2 (si es que lo sacan) habría que repetir la operación para el éste. En mi caso, yo usaré el que me descargó el imagePatcher

Nada más llegar el modo auditoría tendréis este aspecto:

Iniciado en modo auditoría.

De momento no hagáis nada con este asistente. Lo primero de todo es instalar el SP oportuno.

Instalando SP1 en modo auditoría

En mi caso, he dejado marcada la opción de reiniciar cuando termine. Puede tardar bastante. Mientras tanto, puedes ir montándote o instalándote el Windows AIK. Hará falta más adelante. 

Una vez se ha terminado de instalar el SP del todo, contando que se tendrá que reiniciar el equipo, llegaríamos aquí:

SP instalado y el equipo ya se ha reinicia en modo auditoría.

En este punto podríamos hacer más cosas. Como por ejemplo, añadir otros posibles controladores de los que originalmente no contase la instalación. Incluso, configurar la conexión a Internet y pasar el Windows Update. Voy a pasar de hacer esta última opción. 

Usaremos el sysprep, que ya está arrancado por defecto.

Configuración del sysprep.

Seleccionaremos que se inicie la configuración rápida (OOBE). En las opciones de apagado podemos utilizar lo que más nos convenga para seguir el proceso completo. En mi caso, va a ser un apagado.

Ahora hay que hacer una limpieza de toda la porquería que ha dejado la instalación del SP. Hay varias formas. Una de ella es arrancar el equipo con el disco de instalación, acceder a X:\Windows\system32\ y ejecutar

dism.exe /Image:D: /Cleanup-Image /spsuperseded /hidesp

Por cierto, algunos manuales obvian el hidesp.

Limpiando la porquería de la nueva instalación.

Si quieres mirar otras opciones sobre cómo limpiar la instalación lo único que tienes que hacer es ir a este sitio.

Ahora nos queda generar la nueva imagen. 

Para ello accederemos a las herramientas AIK. 

imagex.exe /capture D: f:\installWin_7\installWin7UltimateSP1.wim "Windows 7 Ultimate SP1" "Windows 7 Ultimate SP1 (x86)" /compress maximum /flags "Ultimate"

Creando la imagen.


La primera descrición entre comillas le he añadido el "SP1" con respecto a lo que venía en el manual. Lo digo por si las moscas eso hace que falle la instalación. Bueno. Según la pantalla, queda una hora para que finalice el volcado. 

Una vez ha finalizado el volcado, vamos a seguir las instrucciones de la primera parte pero seleccionando el fichero .wim recién creado como destino en el parámetro imagefile. En este caso, el parámetro patchimages:All no tendría mucho sentido porque sólo hay una imagen. No se si será en este post o en otro en el que os cuente si hago alguna cosa para fusionar distintas imágenes. Una vez lanzado, tocará esperar. Con la diferencia, de que al ser sólo una de las distribuciones tarde menos. Y también de que no tenga la necesidad de descargar los ficheros ya descargados y de que no me vaya a intentar instalar parches ya incluidos en el SP. 

Mientras se está ejecutando he visto que, en efecto, para las descargas sólo hace las que hacen falta. Es decir, desde la última vez que se lanzó el script. Lo que sí que me da la sensación es de que va a intentar instalar todos los parches. 

Parcheando imagen.

Habrá que ver el resultado cuando haga la instalación de esta imagen.

De momento he tenido que hacer un segundo intento. Paré la primera instalación cuando me encontraba en la siguiente pantalla. Con la diferencia de que en este caso estoy mirando el task manager:

Completando instalación con el taskmanger lanzado desde una consola

Se ve que sí que está haciendo cosas. Habrá que esperar más, a ver si se completa. Esto puede significar dos cosas. O he hecho algo mal, y la instalación se queda pillada o que va a tardar más de lo habitual que una instalación normal. ¿No debería de haberse aprovechado el hecho de que los parches ya están instalados? No se. A ver qué pasa. 

Y... he tenido que hacer un tercer intento. En esta ocasión, el taskmanager no se ha puesto todo el rato al 100%. Y tampoco ha estado casi 6 horas dándole sin saber qué estaba haciendo. Sólo ha estado... unos 10 minutos. 

Y ahora estoy en la primera pantalla que os he mostrado. Haré la instalación normal, y miraré qué actualizaciones tiene y cuáles se ha dejado en el tintero pasando el Windows Update.

De buenas a primeras, el IE9 no se ha instalado. Por lo tanto, hará falta instalarlo al terminar de poner el SP. Daré por hecho que cualquier nueva versión también habrá que instalarla de esa forma.

Explorer 8 en vez de Explorer 9.

La versión que nos indica del sistema operativo:

Service Pack instalado.

También tenemos el número de revisiones instaladas:

Revisiones instaladas

Y... 4 actualizaciones críticas para descargar, 52 opciones (de las cuales, treintaitantas son las de los idiomas):

4 actualizaciones importantes

Habrá que ver que cuando se reinicie no pida instalar más. Pero eso ya lo dejo para que lo averigüéis vosotros. 

Y aquí lo dejo. Como se puede ver, esto es mucho lío para tener una sóla distribución. Imaginaos tener cada una de ellas, en su respectiva arquitectura. Sobretodo puede merecer la pena cuando hay bichos que se te cuelan nada más enchufar el equipo a Internet y se aprovechan de alguna vulnerabilidad. 

Ya sabéis que si hay algún comentario o duda, sólo tenéis que escribirlo. 

miércoles, 4 de enero de 2012

Splitstreaming Windows 7 I

Esta parrafada, y la siguiente, indican que este post es uno de esos que se quedan atravesados y que aún hoy, 4 días después de las campanadas de año nuevo, no lo he publicado. Hasta ahora.
------
Este post lo monté, casi por completo, una semana o dos antes del Asegur@IT Camp 3. Y eso que el de la instalación lo hice después. Como ya digo más adelante, en principio quería escribirlo mientras que hacía las tareas. Hubo un momento en el que no fue del todo posible. Incluso ahora, es muy probable que tenga que añadir más datos, o, en su defecto, escribir una segunda parte complementaria.
------
Hoy me gustaría hablar sobre cómo se podría hacer para, teniendo la imagen de instalación de Windows 7, instalarlo (casi) completamente actualizado. Es importante, porque, si hay alguna vulnerabilidad que se corrige con un parche, pero ésta actúa mientras que parcheas... Te la comes. Por eso, hace muuuucho tiempo, quise hace eso mismo con un XP. Y más o menos lo conseguí. Un día podría contralo. Ya veré. Hoy lo quiero contar sobre Windows 7. Hay muchas cosas que están escritas mientras he estado experimentando. Otras, están re-escritas para que encajen mejor. La verdad, la experimentación me ha llevado varios días. Aquí está el resultado.

Antes de empezar a contar nada. Debo de hacerlo, por si las moscas: Cualquier problema que surja por seguir esta guía, sus indicaciones y las herramientas necesarias, no será mi responsabilidad. Hay acciones que pueden poner en riesgo el sistema. Luego, no me responsabilizo por lo que pueda suceder.

¿Qué vamos a necesitar?

Necesitaremos el Windows AIK, del que ya hablé ligeramente en otra ocasión.

También vamos a necesitar el archivo install.wim, que se encuentra en el disco de instalación de Windows. En principio es independiente de qué versión se utilice: x86 o x64. Tendrás que copiarlo del disco en cuestión a lugar de fácil acceso. Como las anteriores ocasiones en las que se trabaja con estos ficheros, prepárate para tener mucho espacio libre. Que hará falta.

Para todo el proceso también necesitarás una conexión a internet. Va a hacer mucha falta.

¿Lo has copiado ya? Bien. Ahora, tienes que bajarte, un programa que me contaron en Windows Técnicoimagepatcher, de Codeplex.

Guárdalo en una ruta fácil de recordar y acceder por consola. Mucho mejor si se evitan los espacios. Aunque  yo no lo hice, no debería de haber ningún problema si guardas el script junto a la imagen.

Una vez guardado, necesitaremos acceder por consola al powershell. Sí, si quieres también podrías usar el entorno gráfico que tienen montado. Yo me decantaré por la consola. Además, será necesario elevar los privilegios a admin.

Si es la primera vez que has abierto ps, te recomiendo que ejecutes el siguiente comando:

get-executionpolicy

¿A que el resultado es Restricted? Eso es así, porque, la primera vez que se ejecuta PowerShell, se encuentra en ese estado. Si intentas ejecutar la sentencia que os indicaré más abajo, os saldrá un error parecido al de la captura:

Error de ejecución: Scripts deshabilitados.

¿Cómo solucionarlo?

Tal y como indican en la ayuda, en las propiedades del fichero, desbloquealo:

Desbloqueando el fichero

Y, desde el entorno de power shell, sigue las instrucciones del pantallazo:

set-executionpolicy remotesigned

Una vez hemos realizado estos pasos, podemos situarnos en la ruta donde tenemo el script. Ahora, ejecutamos:

imagepatcher.ps1 -dbg:yes -imagefile:g:\installWim_W7\install.wim -patchimages:All

Y... a esperar. Aunque dicen que son tres cuartos de hora, esto ha estado muchas horas tirando. Puedo hacer unos cálculos aproxiamos... Veamos. 2 horas por aquí... Otras... 5 por aquí... Calcula que pueden llegar a las 8 horas. 

Al principio se descarga algún que otro fichero:

Descargando fichero 1

Y, hora y media después...

Continua la descarga...

Como se podrá observar, lo está descargando en la misma ruta donde se encuentra el script. ¿Qué más? Subiendo el scrollbar para ver los resultados no visibles de la consola, he podido ver que ha hecho alguna expansión (descompresión) de uno de los ficheros descargados. O ha descartado otros por estar ya descargados...

Un día después, habiendo dejado el ordenador trabjar casi 4 o 5 horas, he hecho la siguiente captura:

Guardando imagen...

En esta captura está acabando la cuarta iteración (y no sabía si iba a hacer más). Justo cuando estaba escribiendo las lineas describiendo la situación (y que estoy sustituyendo ahora mismo  por estas otras), pasó a la quinta. Ahí fue cuando hiberné el equipo y lo dejé para el día siguiente. Esas "iteraciónes" son los parcheos en las distintas distribuciones / versiones que hay en la imagen: starter, home, ultimate...

Ahora mismo... Lo importante de todo esto es que continuase con todo lo que tuviera que hacer. Lo dejé una jornada laboral, lo reconozco. Pero, viendo lo que estuvo haciendo antes, y sabiendo el punto donde lo dejé, más de media hora o tres cuartos no estuvo. Así, aquí tenemos el proceso finalizado:

Parcheado de imagen finalizado

Y ya tenemos la imagen parcheada lista para integrar en el disco que montamos en su momento. Según he podido averiguar, parece que las descargas las hace a través de dos medios. Uno, un fichero .cab, y otro, un fichero .xml que editan a mano para indicar las URLs de las actualizaciones que no puede coger automáticamente. En el momento de terminar la instalación, puedes ver que Windows Update te dice que faltan actualizaciones. Bastantes, a decir la verdad. Entre otras, el SP1. Según parece, hay que hacer esa instalación manualmente. La verdad, no se qué es mejor. Si seguir pegándome con esto, hasta que me salga un post completo pero muy largo y enmarañado o, por el contrario, acabar aquí, seguir integrando las actualizaciones (o aprovechar las cosas que ya tengo para hacerlo de otra menera) y seguir dando la brasa con otros posts sobre los ficheros .wim.

Update antes de postear este artículo, 4 de enero de 2012: Hace... 2 o 3 meses que estuve a punto de publicarlo. Y eso que hacía mucho más tiempo que lo había escrito. De momento lo dejo aquí, pero me voy a poner a escribir otro para buscar soluciones, al menos, a los problemas del SP. Son conocidas,pero, al menos, las documento.

lunes, 2 de enero de 2012

Localizando y limpiando bichos

¡Feliz año nuevo!

Ha llegado un nuevo año. Momento en el que uno se plantea unos propósitos, que unas veces se cumplen, y otras no. Por ejemplo, estudiar más. Profesionalmente es importante mantenerse al día. Prácticamente no hay trabajo en el que no se tenga que estudiar hasta que uno se jubile.

Una de las formas en las que se aprende mucho es cuando se tiene que desinfectar un equipo. A lo largo de estas navidades se coló un bichito en un equipo de un familiar. Una faena enorme. Aquí hay una explicación de qué es lo que sucedió y lo que fui haciendo. La pena es que en un momento determinado, posiblemente los pasos más importantes, no hice pantallazos. Por lo tanto, los aquí presentes son ejemplos y los estoy haciendo ahora.

Los primeros síntomas que me contaron fueron que saltó el Avira y de repente, se cerró el navegador. No era una página rara, sino una muyyy conocida con rutas y recetas. (Habría que ver si es que está infectada o es que justo en ese instante se activó).

Lo primero que se hizo fue pasar el antivirus. Encontró muuuuchas cosas. Siempre encontraba. Incluso reiniciando. En cuanto me puse yo personalmente con el equipo, cogí un CD de arranque de mi Avira. Lo configuré:

Configurando Avira para conexión de a Internet

Una vez tenemos configurado el entorno para que se conecte a Internet, podremos actualizar la BB.DD de firmas. Es muy importante si hace tiempo que hicimos el CD.

Avira actualizado

Una vez tuvimos el Avira actualizado, lo pasamos con la siguientes configuración:

Configurando el scan del Avira

Así, localizó más ficheros infectados. Evidente, encontraba los renombrados y, además, alguno que otro que no se acababa de eliminar desde el sistema arrancado. 

Aún así, tuve que hacer más cosas. Entre otras, utilicé el CD de arranque que monté con los SysInternals montado de una forma similar a como lo hice con este otro. Lo bueno de este CD es que se puede acceder a las herramientas desde el explorador. Por lo tanto, con el sistema operativo infectado ya arrancado, se pueden lanzar.

Por ejemplo, lancé el Process Monitor... unos segundos. Me pareció que en ese instante podía ser demasiado complicado localizar algo. Uno que sí que me ayudó muchísimo fue el Process Explorer. Me ayudó bastante. Encontré tres o cuatro cosas que no me gustaban nada de nada. Primero, me aparecían dos procesos al mismo nivel que explorer.exe con nombres númericos y el background en morado. Un "hijo" de explorer.exe también tenía ese color morado y otro (muy llamativo también) le aparecían en el nombre del fabricante un montón de interrogantes (?????). Esto sería un ejemplo del colorín morado:

Ejemplo de con el color morado

Sin embargo, no sabría decir dónde, el hecho de que esté morado no significa que sea malo. Yo se qué es lo que aparece en esta imagen, por poner un ejemplo. El problema está cuando matas un proceso de esas características y, de repente, vuelve a salir. Como si de un proceso respawn en un sistema Unix se tratase. Y si los procesos sospechosos hacen eso... Ahí ya hay algo que no cuadra. Una cosa que sí que hice fue hacer un dump de esos procesos. No se cómo se me ocurrió hacer eso sin darle importancia pero no pensé que fuera mejor documentar el resto de las tareas. 

A mi me daba la sensación de que ese proceso raro (que, además, era sospechoso por el nombre de la compañía, si no, hubiera pasado desapercibido) era el responsable de todo. MarkAny se llamaba. Más o menos a partir de ahí, se me ocurrió utilizar otra herramienta incluida en la paquetería. Autoruns

Esta herramienta te permite controlar qué se tiene que cargar desde que se inicia el sistema hasta que haces login. Este sería un ejemplo de una de las pestañas que tiene el programa. Lo que hice fue ir una a una, localizar el MarkAny, y quitar el tick al checkbox. Evidentemente el regedit no me mostraba gran información que me sirviese. Por eso Autoruns es más útil para estos casos. Y, todo sea dicho, todo se ve mejor. 

Con esto ya desactivado, pudimos eliminar los ejecutables del sistemas. 

A partir de ahí ya estaba el bichito neutralizado (en teoría). Pero nos encontramos con un problema. Los navegadores no salían a Internet. ¿Qué más podía estar fallando si los al hacer ping teníamos respuesta? Mirar la configuración de conectividad. ¡Nos la habían cambiado! Habían hecho que el equipo tuviese un proxy y saliese por ahí. Por eso, me encontré con una configuración parecida a esta en cada uno de los navegadores instalados:

Configuración del proxy

Fue cuestión de quitar esa configuración para que se pudiese volver a navegar. 

Con todo esto teníamos el sistema funcionando otra vez con, en teoría, normalidad. ¿Qué otros estragos nos habrían hecho? ¿Habrían colado algún rootkit que RootkitRevealer no me hubiera encontrado cuando lo pasé? Ante la duda, sólo quedaba hacer una cosa: reinstalar. 

¿Qué puedo contar de esta experiencia? Bueno. Me hubiera gustado tener a mano otra herramienta que llama IceSword. Es parecida al RootkitRevealer y ProcessExplorer. O haber lanzado el netstat y el fport un

netstat -na

pero a nivel de kernel (dicho rápido y pronto) que permite saber si el netstat miente o no. (Herramienta nombrada en el libro Análisis Forense Digital en Entornos Windowsde Juan Garrido aka Shilverhack). 

También me hubiera gustado haberle pasado el Nmap, el Nessus y similares. Pero, como ya me había cargado la ejecución, poco más podía hacer. 

Si alguno de vosotros quiere comentar algo sobre lo que hice, o le gustaría indicar alguna que otra herramienta más que podría haber usado, que no dude en decirlo.