El Registro de Windows y Aplicaciones

Felipe Reynaldo González Linares www.mygeekside,com / www.es.mygeekside.com

[email protected] Te recomiendo que uses máquinas virtuales para hacer estas pruebas.

Puedes encontrar más información en google sobre VMware y

VirtualPC. De todos modos si sigues los pasos exactamente no hay

problema si desarrollas lo descrito en tu máquina.


[email protected]

RENUNCIA: El presente documento ha sido creado a partir de valiosa

información obtenida de diversas fuentes confiables bibliográficas y de

Internet. No se puede decir que está hecha sólo por mí, pues yo no he

creado el Registro de Windows, pero sí, que gran parte de lo

presentado corresponde a mi experiencia a partir de mi investigación

sobre este tema.

Este material está hecho con fines puramente educativos, y el autor no

se responsabiliza por el contenido de la información vertida o por lo

que el lector pueda hacer con ésta, ni por los daños o beneficios sobre

hardware o software que pueda ocasionar la manipulación, ejecución,

o puesta en práctica directa o indirecta de lo aquí descrito, ni por la

influencia que esto pueda tener en la vida del lector y de terceros.

F. R. G. L.

[email protected]

Tarapoto-Perú

2005


[email protected]

El principio de la sabiduría es el temor de Jehová.

Proverbios de Salomón

http://www.proverbia.net/citasautor.asp?autor=270


[email protected]

No basta saber, se debe también aplicar. No es suficiente querer, se debe también hacer.

Johann Wolfgang von Goethe

Lo que sabemos es una gota de agua; lo que ignoramos es el océano.

Isaac Newton

En primer lugar acabemos con Sócrates, porque ya estoy harto de este invento de que no saber nada es un signo de sabiduría.

Isaac Asimov

La sabiduría es hija de la experiencia.

Leonardo Da Vinci






[email protected]

Dedicatoria:

Agradezco en primer lugar a Dios, por la vida y por todas las

bendiciones que me ha dado. Todo lo que somos y lo que sabemos es

por El, porque El lo permite.

Gracias a Jesús por haber venido a este mundo a dar su vida por

nosotros. Preparémonos pues para su Segunda Venida.

Agradezco también a mi madre por su apoyo total, Geni Linares

Bensimón, quien desde que fui pequeño me ha inculcado los principios

y valores de la Palabra de Dios con infinita paciencia, ternura y amor.

A mis hermanos Raquel, Jairo y Omar, por su apoyo incondicional en

todo momento.

Agradezco también a todos mis amigos de la red, que aunque tal vez

nunca los haya conocido a todos y que tal vez nunca los llegue a

conocer en persona, me han ayudado-muchas veces sin saberlo-

compartiendo su conocimiento conmigo y con los demás.

Dedicado a quienes buscan la Sabiduría por encima del conocimiento.


[email protected]

EL REGISTRO DE WINDOWS

El S.O. debe tener uno o varios archivos de configuración para adaptarlo a las

particularidades del hardware, del software y del usuario de un equipo. Estos

archivos los lee el S.O. en el arranque del sistema.

Para configurar y personalizar un terminal mediante MSDOS, utilizábamos los

archivos CONFIG.SYS y AUTOEXEC.BAT, las órdenes introducidas en estos dos

archivos se ejecutan al arrancar el sistema operativo permitiendo una

configuración según nuestras preferencias. Podemos configurar el tipo de teclado,

el ratón, el tipo de fecha, el prompt, el gestor de memoria, path, driver, tarjeta de

sonido, etc....

Con Windows 3.1 se utilizaban para configurar nuestro sistema, además de los

archivos anteriores, otros de extensión INI (SYSTEM.INI, WIN.INI, etc...). Incluso

algunos programas cuando se instalaban creaban su propio archivo de

configuración INI.

En Windows 95, Windows 98 y Windows Me la configuración del sistema se

almacena en dos archivos SYSTEM.DAT(contiene toda la selección de hardware

de nuestra PC) y USER.DAT(contiene las configuraciones de los usuarios).

Estos archivos se almacenan como archivos binarios así que no podrás visualizar

su contenido sólo con un editor de texto.

Estos 2 archivos se llaman el Registro de Windows. Cuando instalamos un

programa (de 32 bits) éste suele modificar el Registro. Se puede prescindir del

AUTOEXEC.BAT y CONFIG.SYS, así como de los archivos .INI sin embargo se

mantienen por compatibilidad del sistema, sobre todo para que puedan funcionar

los viejos programas de MSDOS y Windows 3.x


[email protected]

Con Windows XP el Registro se guarda en varios archivos, concretamente en la

carpeta:

%SYSTEMROOT%\System32\Config se encuentran:

DEFAULT, SAM, SECURITY, SOFTWARE Y SYSTEM.

Además cada usuario tendrá un archivo llamado:

%USERPROFILE%\NTUSER.DAT en donde tendrá su configuración.

¿Qué significa %Systemroot% y %Userprofile%?, Pues son variables del

sistema, las puedes ver escribiendo SET en el Intérprete de comandos.

Osea %Systemroot% equivale C:\Windows y %Userprofile% equivale a

C.\Documents and Settings\felipe, pero que valga para todos, pues podríamos

haber instalado Windows en otra partición y tener otro nombre de usuario.

Muchos de los cambios que haces a la configuración de tu Window$, tales como de

repente poner contraseña a tu protector de pantalla, o cambiar el fondo de tu

pantalla, son cambios que modifican los archivos del registro.

Modificar el contenido de los archivos de registro no solo requiere las

herramientas adecuadas sino también la comprensión del funcionamiento interno

de estos archivos.

¿Cómo podemos modificar el contenido del Registro de Windows? Pues

podemos ir a cada uno de los archivos anteriores con un Editor unicode y

modificarlo, pero esto es complicado. Lo mejor es ir a una herramienta llamada

Editor del Registro: Inicio\Ejecutar\regedit. Veremos todos los archivos anteriores

dispuestos de una manera elegante, en forma de carpetas (NO son carpetas, se

llaman claves) y son fácilmente accesibles. En realidad no se ven cada archivo por

separado sino que el propio Editor del Registro se encarga de presentarlos de esta

particular manera.

OJO: No debes confundir el Registro con el Editor del Registro, como ya lo dije


[email protected]

anteriormente, el Registro es en sí un conjunto de archivos del sistema que no se

pueden visualizar con cualquier programa, y el Editor del Registro(regedit.exe) es

un programa especial que Microsoft ha hecho para Windows para poder

manipular el Registro de una manera más fácil. Hay varios Editores del Registro

por allí sueltos, como lo son el de Symantec, y otros más.

TIP: Probablemente el significado de la palabra HKEY derive de Handle to KEY,

que significa manipular llave.

Observamos que hay cinco claves llamadas:

HKEY_CLASSES_ROOT

HKEY_CURRENT_USER

HKEY_LOCAL_MACHINE

HKEY_USERS

HKEY_CURRENT_CONFIG

Cada una de las Claves tiene subclaves.

En el Panel derecho observamos los Valores, éstos contienen Datos.

Estos valores pueden ser de los siguientes tipos:

• Los valores del tipo cadena, contienen por lo general: Nombres de

objetos(tales como ”Papelera de reciclaje”, etc), afirmaciones como “yes” y

“no”, rutas(tal como “C:\windows\system\command.com”)etc.

• Los valores del tipo binario, contienen datos binarios de archivos, etc.

• Los valores del tipo dword, contienen datos hexadecimales o

decimales(según se escoja) para variables de configuración.


[email protected]

Veamos rápidamente el menú del Editor de Registro. (Puedes acceder a todos

los elementos del menú mediante el Botón derecho del ratón.)

Archivo\Exportar = Coge una parte del Registro y la guarda en un archivo .reg

Archivo\Importar = Coge un archivo.reg y lo introduce en el Registro.

Ejercicio :

Modificar la Página de Inicio del Internet Explorer al clickear sobre un archivo.

Marca la clave : HKEY_CURRENT_USER\Software\Microsoft\Internet

Explorer\Main

Ahora ve a Archivo\Exportar y guárdalo en Mis documentos con el nombre de

prueba.reg

Ve al Bloc de notas y edita el archivo anterior: prueba.reg


[email protected] Cambia "Start Page"="http://www.elmundo.es" , pon la dirección de la página

web que desees.

Guarda el archivo y ahora doble clic sobre él. El archivo se grabará en el Registro

y modificará la Página de Inicio del Internet Explorer.

Abre ahora el Internet Explorer y verás la pagina web que escribiste.

Edición\Nuevo para crear una nueva clave o valor. Los valores más usuales son de

tipo DWORD y CADENA(Alfanumérico).

También mediante Edición podemos Eliminar o Cambiar el nombre de una clave.

Edición\Buscar para buscar una clave, valor o dato. (Podemos marcar o

desmarcar las casillas)

F3: Continuar buscando.

Para cambiar el Dato de un Valor, pulsar con el botón derecho del ratón sobre ese

valor y eligiendo la opción Modificar.

Edición\Permisos…. En el caso de Windows XP, El Registro sólo lo pueden

modificar los Administradores del sistema pero no los usuarios "limitados".

Podemos darle permiso a algún otro usuario para que también lo pueda modificar.

Entramos en la opción Permisos Agregar\Avanzadas\Buscar ahora y elegimos al

usuario que podrá modificar todo o algún elemento del Registro.

Los tipos de permisos en opciones avanzadas son los siguentes :

Control total : Permite que posea todos los permisos posibles.

Consultar valor : Permite que tenga permiso de lectura.

Establecer valor : Permite que tenga permiso de escritura.

Crear subclave : Permite que pueda crear subclaves.

Enumerar subclaves : Permite que pueda listar las subclaves de una clave.

Notificar : Notificará cuando la clave sea modificada.

Eliminar : Permite que pueda eliminar claves.


[email protected] Para Windows 98,Win ME, cualquier usuario que tenga una cuenta puede

modificar el registro, que fea nota, o tal vez? Qué bacán!!

Fundamentalmente el Registro se compone de dos claves:

HKEY_LOCAL_MACHINE y HKEY_USERS, en estas dos claves están todos los

parámetros del registro.

Lo que ocurre es que para mayor comodidad la primera de ellas deriva en otras

dos llamadas: HKEY_CURRENT_CONFIG y HKEY_CLASSES_ROOT.

Y de la segunda clave deriva HKEY_CURRENT_USER

Veamos algunas subclaves de las claves principales:

HKEY_CLASSES_ROOT (HKCR)

En esta clave se encuentran los archivos registrados, sus extensiones y los

programas asociados. También se encuentran los identificadores de clases que son

números que identifican determinados objetos.

Esta clave es parte de la HKEY_LOCAL_MACHINE concretamente la

HKEY_LOCAL_MACHINE\Software\Classes

Ejemplos de Extensiones de archivos: .txt, .bat, .bmp, .exe, .pif, * significa

todos los archivos.

Tipos de archivos registrados: textfile, batfile, Paint.Picture(archivos de

mapas de bit), exefile, piffile.

Programas asociados: notepad.exe, archivo de procesamiento por lotes(MS-

DOS), mspaint.exe, programas ejecutables, accesos directos.

CLSID nombre de objetos. Ejemplo, la Papelera es 645FF040-5081-101B-9F08-

00AA002F954E.


[email protected] Los programas asociados son los que abrirán los archivos con determinada

extensión, por ejemplo: los archivos .txt, son archivos de texto, y se abren con el

block de notas(notepad.exe); los archivos .doc, son archivos del procesador de

texto de Word, y se abren con winword.exe; los archivos .bmp, son archivos de

mapas de bits, y se abren con el mspaint.exe, etc...

Osea que aquí en el Registro están todas las asociaciones a los programas que usan

determinadas extensiones.

Práctica:

Veamos como se ubican las extensiones de archivos y sus asociaciones con

programas en el registro.

Abrir el Editor de registro: En menú Inicio, Ejecutar, regedit.exe, Enter.

Abrir la clave HKEY_CLASSES ROOT, buscar el la subclave “.txt”, hacer clic y

se muestra lo siguiente:

• El Valor de Cadena(REG_SZ) Predeterminado es txtfile, que indica que la

asociación es de un txtfile (archivo de texto).

• El Valor de Cadena(REG_SZ) Content Type es text\plain, que indica que su

contenido es texto plano.

• El Valor de Cadena(REG_SZ) Perceived Type es text, que indica que indica

que el sistema detecta contenido de tipo texto.


[email protected] La subclave PersistHandler contiene el CLaSs IDentifier(CLSID)(Identificador de

Clase) que es un numero por el cual el sistema identifica al objeto que representa

las extensiones txt.

Lo que esta enmarcado en rojo dentro de la elipse es importante pues nos llevará a

la asociación extendida.

Pues vayamos. Volvamos a la clave HKEY_CLASSES_ROOT, y busquemos la

subclave “txtfile”, y nos muestra lo siguiente:

En la subclave DefaultIcon, en el valor de cadena Predeterminado, se encuentra la

dirección del archivo que contiene el icono que usan los archivos de texto, en

este caso el archivo Shell32.dll. El número al costado indica el número de icono,

puedes probar a modificar ese número para modificar el icono también!.

La Sub clave Shell tiene una subclave(subclave Open) para mostrar el menú que

sale cuando se hace clic al botón derecho del ratón (Menú contextual) sobre un

archivo, en su valor predeterminado se pone el texto que se desea que aparezca en

el menú para abrir la asociación deseada. Otra subclave en la que se determina

que programa abrirá a la extensión dada (la subclave command) .

Sub clave: Shell\Open\command, se usa para determinar el programa que

abrirá a los archivos de este tipo(.txt[archivos de texto]). Ahora si, vayamos a la

subclave HKCR\txtfile\shell\open\command, nos encontraremos con esto:


[email protected]

Vemos que la subclave command, en su valor de cadena predeterminado, contiene

la dirección del programa que abrirá los archivos que detecte o que se hayan

marcado como archivos de tipo texto. El “%1” indica que abrirá el archivo de texto

sobre el cual se ha hecho doble clic o enter.

Ok, ahora veamos que programa tiene asociado la extensión .gif(de las imágenes

animadas). Vamos al Editor del Registro y abre la clave

HKEY_CLASSES_ROOT\, expándela y busca la subclave .gif:

Ahí vemos que la extensión .gif maneja la asociación extendida llamada

“giffile”(archivo gif). Ahora en la misma clave HKEY_CLASSES_ROOT,

Busquemos la subclave “giffile”, expándela y abre las subclaves Shell, Open,

command:

Vemos, que en mi máquina, el programa encargado de visualizar los archivos con

extensiones .gif es el iexplore.exe(el explorador de internet).


[email protected] ¡!Tarea!!: Ubicar las extensiónes .doc y .exe y ubicar las asociaciones de los

archivos, y la ruta que lleva a los programas que ejecutan los archivos del tipo .doc

y .exe.

TRUCOS USANDO ASOCIACIONES Y EXTENSIONES :

TRUCO 1. Hacer que TODOS los archivos se puedan visualizar con el

bloc de notas( ¡Muy útil para analizar archivos sospechosos!).

NOTA: Este truco funciona a la perfección en Windows 98, en XP no se nota

mucho, a no ser que el archivo que se desee abrir no tenga una asociación aún

determinada.

1. Ejecutar el regedit

2. Abrir la clave HKEY_CLASSES_ROOT

3. Abrir la subclave * (ya dijimos que * representa TODOS los archivos).

4. Dar clic derecho sobre la subclave * y seleccionar Nuevo, Clave; y escribir

el nombre de “shell”, sin las comillas y presionamos Enter (La Sub clave

Shell se usa para que aparezca el menú que sale cuando se hace clic al

botón derecho del ratón (Menú contextual) sobre un archivo.)

5. Una vez creada esta subclave, damos clic derecho sobre esta misma

subclave y seleccionamos Nuevo, Clave; y escribimos “Open”, y

presionamos Enter.

6. Una vez creada esta subclave vamos al panel derecho y en el valor llamado

Predeterminado damos clic derecho y seleccionamos modificar.

7. Nos aparece una ventanita de Editar cadena y escribimos en el espacio de

Información del Valor: “AvRiR k0n el BloK de NotAZ”, y presionamos

Enter.

8. Ahora hacemos clic derecho nuevamente sobre la subclave Open y

seleccionamos Nuevo, Clave, y escribir “command”.


[email protected] 9. Una vez creada esta subclave vamos al panel derecho y en el valor llamado

Predeterminado damos clic derecho y seleccionamos modificar.

10. Nos aparece una ventanita de Editar cadena y escribimos en el espacio de

Información del Valor “notepad.exe %1”, y presionamos Enter.

11. Cerrar el Editor de registro.

12. Abrir el explorador de Windows y ubicar una carpeta que tenga archivos

con diferentes extensiones(.txt, .doc, .bat, .xls, .bin, etc) y dar a cualquier

archivo clic derecho con el mouse y se verá que aparece un menú dentro del

cual está el texto “AvRiR k0n el BloK de NotAZ”, al seleccionar eso,

cualquier archivo que escojamos se abrirá con el bloc de notas.

TRUCO 2: Abrir el Intérprete de Comandos desde la carpeta deseada.

1. Abrir el Editor de Registro de windows.

2. Ir al árbol HKEY_CLASSES_ROOT y expandirlo

3. Buscar la subclave Fólder y expandirla.

4. Dar clic derecho en la subclave Shell y seleccionar nueva Clave, y luego

escribir TRUCO, y presionar Enter.

5. Una vez creada la subclave TRUCO, ir al panel derecho y dar clic derecho

en el valor de cadena Predeterminado y seleccionar Modificar y en el

campo Información del Valor, escribir: “Ir al MS-DOS desde aquí”, y dar

clic en Aceptar.

6. Luego dar clic derecho en la subclave TRUCO y seleccionar Nueva Clave, y

luego escribir command, y presionar Enter.

7. Una vez creada la subclave command, ir al panel derecho y dar clic derecho

en el valor de cadena Predeterminado y seleccionar Modificar y en el

campo Información del Valor, escribir: command.com \k cd “%1”, y dar

clic en Aceptar.

8. Cerrar el Editor del registro, Abrir el explorador de windows y dar clic

derecho sobre cualquier carpeta y se verá que aparece la opción: “Ir al MS-


[email protected] DOS desde aquí”, que al seleccionarlo nos llevará al Intérprete de

Comandos con la ruta de la carpeta elegida. Jeje!!

TRUCO 3: Interceptación de Ejecutables

¡!Advertencia!!: Este truco es peligroso, hacerlo con sumo cuidado. Seguir los

pasos exactamente.

Esta aplicación se puede orientar a la creación de virus, pues usando asociaciones

de archivos podemos usar esta técnica llamada Interceptación de Ejecutables para

hacer que nuestros programas se ejecuten ANTES que los programas elegidos, esta

técnica es usada por el virus Bardiel, programado por el programador de virus

peruano MachineDramon.

Básicamente lo que se hace es cambiar la ruta de la extensión del archivo y su

programa asociado, asociándolo con otro, en este caso cualquier programa

ejecutable que hayamos seleccionado.

De paso veremos como restaurar el sistema, ya que este virus después que se lo

elimina deja el sistema casi “inutilizable” por no permitir la ejecución de archivos

.exe, .com, .bat, .scr, .cmd, .pif . Buaaaaaajajajajajajaja!!!

1. Abrir el Editor de Registro.

2. Ir a la clave HKEY_CLASSES_ROOT y expandirla.

3. Buscar la subclave exefile y expandirla.

4. Buscar la subclave shell y expandirla.

5. Buscar la subclave open y expandirla.

6. Buscar la subclave command y expandirla.

7. Ir al panel derecho y hacer clic derecho en el valor de cadena

Predeterminado y seleccionar modificar y allí escribir la ruta del programa

que queramos ejecutar, por ejemplo: c:\windows\command.com y dar clic

en Aceptar.


[email protected] Ahora probemos. Busquemos cualquier archivo .exe y ejecutémoslo, veremos que

se ejecuta el command.com. Ahora supongamos que alguien no tan bueno que

digamos en vez del command.com, nos haría ejecutar programas maliciosos tales

como virus, troyanos, keyloggers, bombas lógicas, etc.

Para conseguir ejecutar el programa después de ejecutar el nuestro, se necesita

programar alguna función que reciba como parámetro la llamada al proceso

anterior a la ejecución última. Se puede hacer eso usando el Visual Basic.

Ahora, tenemos que volver la asociación de los programas .exe a su estado original,

para eso, en el valor en vez de c:\windows\command.com que escribimos, escribir:

“%1” %* (cuidado con los espacios!!, tiene que haber un espacio).

Te habrás fijado y preguntado qué demonios tienen que ver estos archivos, con el

registro, pues prueba a hacerles doble clic y verás que son importados

directamente al registro.

OJO: No se debe importar al registro de windows cualquier archivo, con

cualquier texto, tiene que ser texto similar a la estructura en común que

encuentras en ellos, como REGEDIT4, [HKEY_.....]. Tampoco cualquier nombre

de claves o valores, por ejemplo, hay quienes quieren agregar en el registro

pensando que podrán ocultar su unidad C de los usuarios y crean una clave asi:

HKEY_CURRENT_USER\ProgramasdeFelipe\Microsoft\OcultarUnidadC,

NOOOOOOOOOOO!!!!!!!!!!!, los valores y nombres que nosotros creamos y

modificamos en el registro de Window$, son variables ya establecidas que nosotros

solo activamos o desactivamos.

Ya veremos más adelante métodos diversos para poder acceder al registro de

windows y modificarlo!!!. Muchas son de poder.!! Para defenderte del enemigo

tienes que pensar como el enemigo, no lo olvides nunca.


[email protected]

HKEY_CURRENT_USER (HKCU)

En esta clave se encuentra la configuración del usuario y de los programas que está

actualmente usando en el ordenador.

AppEvents Contiene los las etiquetas o sonidos de los eventos que suceden con

determinados programas, tales como el sonido que se debe escuchar cuando

recibes un correo nuevo en el Messenger, o el sonido que debe escucharse cuando

se vacía la Papelera de reciclaje

Console Configuración de la consola del Intérprete de comandos.

Control Panel Configuración del Panel de control. Accessibility( 1,0), Appearance,

Colors, Desktop, WindowsMetrics, Keyboard, PowerCfg, Mouse, Desktop.

Enviroment Algunas variables de entorno.

Los cambios que hagamos en esta clave afectará solo al usuario actual.

Aquí están los sonidos asociados, escritorio, papel tapiz, teclado, las aplicaciones

que se pueden usar, la red, etc.

Se almacena la configuración del usuario que actualmente está usando el

ordenador. La información aquí contenida es copiada de la clave HKEY_USERS,

una clave del tipo:

S-1-5-21-76556 ……

OJO: Muchos programas al instalarse, ponen su clave en

HKEY_CURRENT_USER\Software\, para poner dentro parámetros de

configuración propios, por ejemplo, puede que hayas instalado el winzip y la clave

es: HKEY_CURRENT_USER\Software\Winzip.

También una clave importante en HKEY_CURRENT_USER es:

HKCU\Software\Microsoft\Windows\CurrentVersion en donde se puede controlar


[email protected] distintos aspectos del sistema. Aspectos varios como restringir acceso a las

unidades de Discos y ocultar drives, de repente no quieres que algunos vean tus

unidades especiales, o que utilicen tu disquetera o lectora, también puedes evitar

que otros modifiquen tu fondo de pantalla y tu configuración personalizada, evitar

que instalen \ desinstalen programas, evitar que ingresen al panel de control, etc,

etc, etc.

Muchos de los cambios hechos, necesitan que se reinicie el equipo.

TRUCO, para reiniciar el registro sin reiniciar la máquina: Al momento de

aparecer el cuadro de apagar equipo, antes de dar clic en Aceptar para Apagar el

equipo, presionar la tecla Shift y sin soltar dar clic en Aceptar para apagar el

equipo.

Ejemplos:

1.- Para que en Inicio no salga "Cerrar sesión" HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer Crear en el panel derecho un valor DWORD llamado StartMenuLogOff y ponerlo en value 1

2.- Podemos evitar que se utilice el Intérprete de comandos (XP): HKCU\Software\Policies\Microsoft\Windows\System. Panel derecho crear un DWORD llamado DisableCMD y ponerlo en 1 (No permitir), 2 o 0 (Sí permitir). [Debes crear las claves Windows y System]

3.- Podemos evitar que se utilice el Intérprete de comandos (Win9x-WinME): [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp]. Panel derecho crear un DWORD llamado Disabled y ponerlo en 1 (No permitir), 0 (Sí permitir). [Debes crear la clave WinOldApp]

4. Evitar Reiniciar en modo MS-DOS (Win 9x) [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp]. Panel derecho crear un DWORD llamado NoRealMode y ponerlo en 1 (No permitir), 0 (Sí permitir). [Debes crear la clave WinOldApp]

5.- Evitar que otros modifiquen tu configuración de las Propiedades de pantalla Sale mediante: Botón derecho sobre el escritorio\Propiedades. Para deshabilitar las fichas de Propiedades de pantalla : HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System ir a Panel derecho y crear o cambiar los valores DWORD de :


[email protected] NoDispBackgroundPage poner a 1 para que no salga "Escritorio" NoDispAppearancePage """"""""""""""""""""" "Apariencia" NoDispSettingsPage """"""""""""""""""""""" "Configuración" NoDispScrSavPage """""""""""""""""""""""" "Protector de pantalla"

Verás que en muchos casos solo se modifican los valores “’0” para deshabilitar y “1” para habilitar.

5.- Ocultar el reloj. HKCU\Software\Microsoft\Windows\Current Version\Policies\Explorer en el Panel derecho crear el valor DWORD llamado HideClock y ponerle valor 1

O bien: Panel de control\Apariencia y temas\Barra de tareas y menú de inicio.

6.- Mediante Herramientas\Opciones de carpeta podemos configurar diversos aspectos de las carpetas y de los archivos. Para que no aparezca la opción "Opciones de carpeta..." en Herramientas de la barra de menús (arriba) : HKCU\Software\Microsoft\Windows\Current Version\Policies\Explorer en el Panel derecho crear el valor DWORD llamado NoFolderOptions y ponerle valor 1

7.- Ocultar Apagar equipo : HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer Crear o modificar un DWORD llamado NoClose y poner el Value en 1. (Reiniciar) Para volver a poner el Botón de apagado poner un Value 0

8.- Para que un programa se ejecute en el inicio. Ir a

HKCU\Software\Microsoft\Windows\CurrentVersion\Run en el Panel derecho

crea un nuevo valor Alfanumérico llamado Calculadora y ponle de valor calc.exe.

Al momento de reiniciar el equipo, verás que se ejecuta la calculadora.

Alucina que acá puedes poner tus troyanos y tus keyloggers, solamente échale

imaginación!

9.- Para que no se pueda inhabilitar Agregar o quitar programas, vamos a

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall y en el

Panel derecho crear un valor DWORD llamado NoAddRemovePrograms, poner

su valor a 1

10. Borrar el registro de los programas que has ejecutado desde el Inicio\Ejecutar.

Jejeje

Antes de hacer esto, ve al menu Inicio, Ejecutar, y escribe:


[email protected] rundll32 desk.cpl,InstallScreenSaver %1

Luego de dar en Aceptar, abre el regedit.exe y busca esta subclave:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU, al

costado derechos se encuentra algo así:

Lo que está enmarcado, son los programas que he ejecutado yendo al menú Inicio/

Ejecutar.

¿Quieres borrar rastros de que has ingresado al registro a curiosear? Pues borra

los valores a, b, c, d, ..., etc, los que no desees que se muestren más.


[email protected] Debes reiniciar el equipo.

11. Borrar el registro de los archivos que has buscado con la opción Buscar

archivos. Jejeje

Digamos que vas a la casa de tu amiga y en su máquina sospechas que tiene algún

archivo, programa, foto, video, etc, que te puede interesar y haces una búsqueda

con el buscador de windows, algo así como esto:

Cuando tu cierres esta ventanita e incluso cuando reinicies, si abres el buscador de

windows, con solo presionar la tecla de dirección hacia abajo, verás que aparece la

búsqueda que habías hecho, OOOPPPPPSSS!!!. Mi amiga se molestaría si supiera

que he estado urgando en sus archivos, y quién sabe tal vez he encontrado cosas

que ella no quisiera que yo vea o sepa, pues como ya se dio cuenta, adiós confianza,

o el peor de los casos, amistad bye bye. JAJAJAJA.


[email protected]

Pero, espera, nuestro caso no será ése. Cierra todas la ventanitas de búsqueda

primero. Ahora vamos a borrar nuestras pistas. Abre el registro de Windows y ve

a la clave:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Doc Find Spec

MRU:

en el panel derecho, está el registro de tus búsquedas, borra las que consideres

convenientes y listo.

En este caso, no hay necesidad de reiniciar.

Haz la prueba, y abre nuevamente una ventana de búsqueda y presiona la tecla de

dirección hacia abajo, ya no aparecerán las búsquedas que borraste.

12. Mostrar la extensión completa de los archivos(Muy útil para evitar ejecutar

virus)

Cuántas veces no ha sucedido que muchas veces hemos encontrado archivos tales

como “pamela.jpg”, “diapositiva.pps” en nuestros diskettes o en nuestros correos,

sin saber quién nos ha pasado esos archivos, y bueno creyendo que eran archivo de

imagen(la extensión “jpeg” es para archivos de imágenes) o alguna diapositiva le

hemos dado doble clic, bueno después vinieron los estragos pues en realidad eran

virus. Bueno, te preguntarás entonces ¿cómo nos podemos dar cuenta si un archivo

jpeg, doc, jpg, etc es realmente un archivo del tipo que dicen ser, y no un virus?.

Pues, la respuesta es: La gran mayoria de virus, tienen extensiones .exe, .com, .vbs,

.bat, etc, pero cuando te lo envían o se copian(de una máquina infectada a un

disquete tuyo) no aparecen con las extensiones completas, sino que se ponen


[email protected] nombres como: “pamela.jpeg.exe”, “diapositiva.pps.vbs”. Entonces el problema

está en que Windows generalmente siempre oculta la primera extensión para los

archivos, haciendo pues que: “pamela.jpeg.exe” se muestre como “pamela.jpeg”, y

que “diapositiva.pps.vbs” se muestre como “diapositiva.pps”, e incluso que

“documento.exe” se muestre como “documento”. Ya te habrás cuenta del terrible

daño que esto puede ocasionar, especialmente sino tenemos ni idea de todo esto.

Entonces, pues he ahí la razón por las cuales muchas veces hemos ejecutado virus

creyendo que eran documentos, imágenes, etc.

Bueno, la propiedad de Windows para hacer que se muestren las extensión de los

archivos está en el registro, más específicamente en la clave:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explore

r\Advanced, en el valor de tipo cadena llamado “HideFileExt”.

Generalmente este valor “HideFileExt”(que viene del inglés Hide=Ocultar,

File=Archivo, Ext=Extensión[Ocultar extensión de archivos]), tiene el valor de

“1”(Activado), que indica que las extensiones de los archivos están ocultas;

entonces para mostrar la extensión completa de los archivos, sólo debemos

cambiar este valor a “0”(Desactivado). Haz la prueba de cambiar este valor y

revisa al mismo tiempo los nombres de tus archivos te darás con gratas sorpresas.

Mira esto, y fíjate bien, cuando el valor de “HideFileExt” tiene el valor de “1”, los

archivos se muestran así(sin las extensiones completas):


[email protected]

Ahora cuando cambiamos el valor de “HideFileExt” a “0”, y para actualizar

presiona varias veces F5, luego lo anterior se muestra así:

¡!!TE DAS CUENTA QUE HAY UN VIRUS QUE PARECIA UNA CARPETA!!!.

Bueno, pues lo único que nos queda es tener siempre el valor de “HideFileExt” con

el valor de “0”, para conocer la verdadera extensión de los archivos y evitar

ejecutar virus . O bueno pon ese valor a “1” si es que eres tú el que quiere ocultar

tus verdaderos virus, troyanos, keyloggers, etc. Jeje

13. Hacer que un programa se ejecute al Inicio de Windows

Cuando queremos que un programa se inicie al inicio de Windows(jeje, muchos

programas maliciosos[virus, troyanos, keyloggers, bombas lógicas, etc] usan esto)

debemos crear valores de tipo cadena en cualquiera de las siguientes claves del

Registro:


[email protected] HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

O

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

O

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnc

e

O

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunO

nce

Y poner valores con nombres que desees y que indiquen la ubicación del programa

que se ejecutará, por ejemplo:

En este caso, al reiniciar Windows verás que se ejecuta tu Keylogger y el MS-DOS

automáticamente. Uff, qué buena!!

Así que si quieres ver que programas se inician con Windows, ve a esas claves del

registro y borra las que te no te gusten o las que te parecen sospechosas y listo.

Más rápido no puede ser.

Otra forma de ver los programas que se inician con windows es con el

msconfig.exe(programa que lee archivos de configuración[config.sys, autoexec.bat,

system.ini, win.ini, y también lee las claves de registro(las pone en la ficha Inicio


[email protected] para ser más específico) mencionadas recién] y los muestra de una manera

“agradable”). Si modificas algo con el msconfig.exe, esa modificación afectará

directamente a los archivos mencionados y las claves de registro.

HKEY_LOCAL_MACHINE (HKLM)

Esta clave contiene la configuración general del ordenador. De ésta proceden la

HKEY_CURRENT_CONFIG y la HKEY_CLASSES_ROOT.

!!Los cambios que hagamos en esta clave, afectarán a todos los usuarios!!

Hardware = ACPI gestión avanzada de energía,

Description = información del microprocesador,

DeviceMap = información del .. ratón, teclado, puertos,

SAM Configuración de seguridad, está protegida.

Security Configuración de seguridad, está protegida. Se utiliza cuando estamos en

un dominio.

Software Información (a veces codificada) de programas instalados, fecha, versión,

licencia, colores

Classes es HKCR

System Información sobre perfiles de Hardware, controladores, unidades de disco.

Notas :

Los archivos moricons.dll, pifmgr.dll, shell32.dll contienen colecciones de iconos.

Los archivos .cpl son utilidades del Panel de control. (Busca los archivos *.cpl)

Rundll32 es un programa que ejecuta algunos archivos .dll y .cpl

Ejemplos:

1.- Para que los usuarios tengan que pulsar Ctrl+Alt+Supr para entrar en el Sistema (Win 2000-XP) (Se utiliza cuando hay varios usuarios configurados) HKLM\Software\Microsoft\Windows NT\Current Version\Winnlogon En el Panel derecho crear una nueva DWORD llamada DisableCAD con valor 0


[email protected]

HKEY_CURRENT_CONFIG

En esta clave está la configuración actual del sistema.

HKEY_USERS

Esta clave contiene la configuración de todos los usuarios del ordenador. Según

van conectándose usuarios al ordenador, aparecen claves del tipo S-1-5-21-76556

…….. aquí están las claves de los usuarios conectados, de todos ellos la clave del

usuario actual se repite en HKEY_CURRENT_USER.

FORMAS DE MODIFICAR EL REGISTRO

1.- Exportando una clave. Modificándola con el Bloc de notas. Clic

sobre el archivo .reg.

Modificar la Página de Inicio del Internet Explorer al clicquear sobre un archivo.

Marca la clave : HKEY_CURRENT_USER\Software\Microsoft\Internet

Explorer\Main

Ahora ve a Archivo\Exportar y guárdalo en Mis documentos con el nombre de

prueba.reg

Ve al Bloc de notas y edita el archivo anterior: prueba.reg


[email protected] Cambia "Start Page"="http://www.gedzac.tk"

Guarda el archivo y ahora doble clic sobre él. El archivo se grabará en el Registro

y modificará la Página de Inicio del Internet Explorer.

Aplicación Malévola: Recuerdo que, hace unos 4 años, cuando aún estaba

iniciándome en este fascinante mundo, fui a una cabina de internet --que está en el

Puerto(Ñaña-Lima-Perú-América-Planeta Tierra-Sistema Solar-Vía Láctea), no

diré el nombre de la cabina para proteger al inocente-- y me di con una “terrible”

sorpresa, el “administrador ” de esas cabinas había puesto varias restricciones a

los equipos, por nombrar a unas pocas, no podía ver la unidad a, no se podía

ejecutar el regedit.exe, no se podía usar el MS-DOS. Como es de suponer, a muy

pocos les gusta vivir bajo las reglas y/o condiciones de otros.

Restricción 1: Cuando iba a menu Inicio/Ejecutar y escribía regedit, me aparecía:

Dije:!!!Cielos!!!, ¡!qué interesante!!,

Te encontrarás en más de una ocasión con esta situación, entonces, lo que debes

hacer para poder volver a poder acceder a tu registro es lo siguiente:

1. Escribe lo siguiente en un bloc de notas:

Para win 98 Para Win XP

REGEDIT4 Windows Registry Editor Version 5.00

Lo siguiente es igual para windows 98 o windows xp

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableRegistryTools"=dword:00000000

2. Grábalo con el nombre de activaregistro.reg


[email protected] 3. Da doble clic sobre el archivo que acabas de crear y verás que nuevamente

tienes acceso al registro.

Bueno, no fue tarea difícil, ya que con el acceso al registro, el 90% del trabajo ya

estaba hecho, pues ya podría retirar las restricciones que ese admin había puesto a

sus equipos.

Si quieres volver a restringir el acceso al registro sólo cambia el valor dword de 0 a

1.

Debes tener en cuenta que aprenderte de memoria las llaves principales del

registro te sacarán de muchos apuros.

¿Te das cuenta de que con solo un archivo . reg podemos modificar el registro a

nuestro antojo, sin necesidad del regedit.exe?

Restricción 2: El admin. había ocultado algunas unidades, como la disquetera, así

que no “podía usar la disquetera”.

Bueno, ahora que tenía acceso al registro, ya no había problema, sólo queda ir a la

ubicación del valor que pone esta restricción y borrarlo, en este caso ir a la

siguiente clave: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

Al costado derecho debe haber un valor del tipo dword llamada NoDrives, cuyo

valor será unidad A: 1, B: 2, C: 4, D: 8, E: 16, F: 32, G: 64, H: 128, I: 256, J: 512,

K: 1024, L: 2048, M: 4096, N: 8192, O: 16384, P: 32768, Q: 65536, R: 131072, S:

262144, T: 524288, U: 1048576, V: 2097152, W: 4194304, X: 8388608, Y: 16777216,

Z: 33554432, ALL: 67108863.

Por ejemplo para esconder la unidad A y la unidad D, se deberá sumar 1(A) +

8(D), y poner el valor a “9”.

Para ocultar todas las unidades poner el valor a "67108863" (03ffffff hex)..

Si no quieres que haya ninguna unidad oculta borrar el valor NoDrives.


[email protected]

2.- Mediante un archivo INF.

Éstos archivos se ejecutan pulsando sobre ellos con el botón derecho y luego

Instalar.

Con el Bloc de notas creamos éste archivo: quitareje.inf

[Version]

Signature = "$CHICAGO$"

[DefaultInstall]

AddReg=Añadir.al.Registro

DelReg=Borrar.del.Registro

[Añadir.al.Registro]

HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\Explorer",

NoRun,0x00010001,"0"

; [Borrar.del.Registro]

;

HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\Explorer",NoRun

; ATENCIÓN: Todo en la misma línea:

; HKCU,"Software\Microsoft\.........\Explorer",NoRun,0x00010001,"0"

Éste archivo pone o quita la opción Ejecutar en el menú de inicio. (Cerrar y Abrir

sesión para ver cambios)

CLAVE PRINCIPAL, "Subclave\Subclave,\Subclave", Valor, TipodeValor, Dato

El Tipo de valor (Flag) lo podemos obtener de:

http:\\msdn.microsoft.com\library\default.asp?url=\library\en-

us\install\hh\install\inf-format_2v02.asp

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/install/hh/install/inf-format_2v02.asp

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/install/hh/install/inf-format_2v02.asp


[email protected] Si es W98, podemos poner como TipodeValor:

0 Para valores de cadena.

1 Para valores binarios

Ir el Editor de Registro y pulsar F5 para ver los cambios efectuados.

Para instalar directamente los archivos .inf desde un archivo por lotes.bat,

podemos poner dentro del lotes.bat:

en XP

C:\WINDOWS\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132

C:\archivo.inf

en W98?

Run("C:\WINDOWS\rundll.exe", "setupx.dll,InstallHinfSection DefaultInstall 132

C:\archivo.inf")

---------------

[Probar también:]

ShellExecute("c:\archivo.inf","","",@normal,"Install")

Y

C:\> rundll32 syssetup,SetupInfObjectInstallAction DefaultInstall 128 C:\archivo.inf

Personalmemte, no uso mucho archivos inf para agregar o borrar datos en el

registro, pero bueno, es cuestión de gustos.

3.- Mediante vbs

Esto es lo máximo, pues con esto ya se puede decir que casi tienes todo el dominio

del registro de windows desde casi todos los ángulos. La combinación de estas

técnicas son el poder absoluto, y solamente tu imaginación pondrá los límites.

Crear un archivo llamado comname.vbs con éste contenido:


[email protected] Option Explicit

Set ws = WScript.CreateObject("WScript.Shell")

Dim ws, t, p1, n, cn, vbdefaultbutton

Dim itemtype

p1

="HKLM\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName\"

n = ws.RegRead(p1 & "ComputerName")

t = "Cambiar el Nombre del Equipo"

cn = InputBox("Nuevo Nombre", t, n)

If cn <> "" Then

ws.RegWrite p1 & "ComputerName", cn

End If

Lo bueno de manipular el Registro de Windows con los programas VBScript, es

que éstos,

4.- Directamente mediante el Editor del Registro de Windows:

Inicio\Ejecutar\regedit

Deshabilitar - Habilitar el Editor del Registro (regedit.exe)

Para Deshabilitar regedit.exe

Crea un archivo llamado: NOregedit.vbs (Copiar-Pegar)

On Error Resume Next

Dim klez

Set klez = CreateObject("WScript.Shell")

klez.RegWrite

"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"

1, "REG_DWORD"

klez.RegWrite

"HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"

1, "REG_DWORD"


[email protected]

Para Habilitar regedit.exe

Crea un archivo llamado SIregedit.vbs (Copiar-Pegar)


Dim klez

Set klez = CreateObject("WScript.Shell")

klez.RegDelete

"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"

klez.RegDelete

"HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"

Los elementos del Registro de Windows se pueden modificar mediante las ventanas

de configuración de Windows tales como por ejemplo, el tiempo en que aparecerá

el protector de pantalla:


[email protected]

Se encuentra en la siguiente clave del registro, con el tiempo contado en segundos:

Modifica ese valor en el en la ventana y mira como cambia automáticamente en el

registro. También puedes modificar ese valor en el registro y ya no tendrás que


[email protected] hacerlo por medio de esa ventana aburrida, en todo caso, como ya lo dije, el

registro es la base datos de windows y de sus configuraciones, por eso digo que

muchas de las opciones de las ventanas de configuración de diversos aspectos del

sistema, se encuentran en claves o valores en el registro.

Un poco más arriba de ScreenSaveTimeOut, está el valor de ScreenSaveActive, ese

valor es “1” cuando tienes el protector pantalla activado. Cuando tienes el

protector de pantalla puesto a Ninguno, ese valor en el registro es “0”.

Debajo de ScreenSaveTimeOut, está el valor de SCRNSAVE.EXE, dentro de este

valor se pone la ubicación del archivo de protector de pantalla(.scr) que queremos.

Más abajo, casi al final de la imagen de arriba, se ve el Valor del tipo cadena

llamado Wallpaper, que contiene la ruta hacia el archivo de imagen de fondo de

pantalla.

También se puede modificar el registro mediante programas como el TWEAKUI

Manager de Moco$oft. Sin embargo vamos a modificarlo directamente desde el

Editor de Registro pues pues no siempre tendremos ese programa a la mano,

además el propósito de este tutorial es que entendamos como trabaja el registro y

que aprendamos a modificarlo nosotros mismos.

Veamos distintas claves del Registro:

Muchos "trucos" del Registro de Windows se pueden realizar mediante la

"Directiva de grupo" (gpedit.msc), mediante programas como el TweakManager

o simplemente mediante las ventanas de Windows. Sin embargo vamos a ver qué

claves y valores cambian cuando efectuamos algunos cambios de configuración.

Si tienes Windows XP Professional, puedes ir a la

Directiva de grupo, Inicio\Ejecutar\gpedit.msc

Luego ves a:


[email protected]

Configuración de usuarios\Plantillas administrativas

desde aquí podrás perfilar la configuración de tu ordenador.

Ve a la clave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies

Mira si contiene éstas subclaves: Explorer, Network, ActiveDesktop, System, y

WinOldApp.

En caso que no la tengan, créalas: Marca Policies\botón derecho\Nuevo\Clave\ nombre

de la clave

Para crear un valor te sitúas en su correspondiente clave, te vas al Panel derecho\botón

derecho\Nuevo\Valor DWORD y escribe su nombre, luego le pondrás como Dato 0 o 1.

Una vez creadas las subclaves anteriores vamos a crear los siguientes Valores en ellas:

• Subclave Explorer:

• ClearRecentDocsOnExit = Borra Documentos recientes cuando sales.

• DisableRegistryTools = Anula el Editor del Registro (regedit)

Atención: Si Anulas el Editor del Registro, luego no podrás modificar el

Registro. Lo tendrás que hacer con un archivo VBScript o un .REG.

• NoActiveDesktop = Deshabilitar Active Desktop

• NoAddPrinter = No añadir nuevas impresoras.

• NoClose = Desactivar el elemento "Apagar el sistema"

• NoChangeStarMenu = Evitar cambios en el menú de Inicio

• NoDeletePrinter = No quitar la impresora actual

• NoDesktop = Deshabilitar todos los elementos del Escritorio y anular botón

derecho en el Escritorio

• NoDevMgrUpdate = No permitir\Permitir el gestor de actualización

• NoDrives [hex] = Ocultar\Poner discos en Mi PC y Explorador de Windows.

Ejemplos:


[email protected] Valor de Unidad A=1

Valor de Unidad B=2, C=4, D=8, etc

Valor de Unidad A+C=1+4=5, C+D=4+8=12(C en hex).

• NoFavoritesMenu = Quitar\Poner Favoritos del menú de Inicio

• NoFolderOptions = Quitar la ficha "Opciones de carpeta" del menú

configuración

• NoFind = Quitar\Poner "Buscar" del menú de Inicio.

• NoFileMenu = Quitar "Archivos" del intérprete de comandos (command)

• NoInternetIcon = Ocultar\Poner el icono Internet Explorer del Escritorio

• NoLoggOff = Deshabilitar cierre de sesión el el menú de Inicio

• NoNetHood = Ocultar el icono Entorno de Red (en Windows 98)

• NoRecentDocsHistory = No mantener el historial de los documentos abiertos

recientemente.

• NoRun = Quitar\Poner "Ejecutar" del menú de Inicio.

• NoSaveSettings = No guardar configuración al salir del sistema

• NoSetFolders = Deshabilitar los cambios en la configuración del Panel de

control e Impresoras

• NoSetTaskbar = Deshabilitar los cambios en la configuración del menú Inicio y

barra tareas

• NoSMMyDocs = Quitar Mis Documentos de menú de Inicio (Win98\ME)

• NoSMMyPictures = Quitar Mis imagenes del menú de Inicio (Win98\ME)

• NoTrayContextMenu = Deshabilitar el menú contextual en la barra de tareas

(Bandeja-reloj)

• NoWindowsUpdate = No permitir actualización de Windows 98 y ME

• Subclave System:

• NoAdminPage = Ocultar "Administración remota"

• NoConfigPage = Ocultar "Perfiles de hardware"

• NoControlPanel [hex] = Quitar Panel de control

• NoDevMgrPage = Quitar "Administrador de dispositivos "

• NoDispAppearancePage = Ocultar "Página de aspecto"

• NoDispBackgroundPage = Ocultar "Fondo"


[email protected] • NoDispCPL = Desactivar Panel de control de monitor

• NoDispScrSavPage = Ocultar ficha de "Protector de pantalla" en ventana de

Propiedades de Pantalla.

• NoDispSettingsPage = Ocultar ficha de "Configuración" " en ventana de

Propiedades de Pantalla.

• NoFileSysPage = Ocultar "Sistema de archivos" de Rendimiento\Propiedades

del Sistema

• NoPwdPage = Ocultar "Cambiar la contraseña"

• NoProfilePage = Ocultar "Perfiles de usuarios"

• NoSecCPL = Desactivar el programa Contraseñas del Panel de control

• NoVirtMemPage = Permitir o no botón de "Memoria virtual "

• DisableRegistryTools = Desactivar herramientas de edición del Registro

• Subclave Network:

• DisablePwdCaching = Evitar cache de claves

• HideSharePwds [hex] = Evitar claves ocultas

• NoEntireNetwork = Evitar Ver toda la red

• NoNetSetup = Deshabilitar el icono Red en el Panel de control

• NoNetSetupIDPage = Ocultar la ficha "Identificación"

• NoNetSetupSecurityPage = Ocultar la pestaña"Control de acceso"

• NoFileSharing = Quitar la opción "Compartir..." archivos

• MinPwdLen = Colocar la mínima cantidad de caracteres para la Clave (0 - 99)

• NoPrintSharing = Quitar la opción "Compartir Impresora"

• NoWorkgroupContents = Sin contenidos de grupo de trabajo en Entorno de red

• Subclave ActiveDesktop (Win98\ME + IE4\IE5\IE6):

• NoAddingComponents = Permitir o no Active Desktop

• NoChangingWallpaper = Permitir o no cambiar fondo de pantalla.

• NoCloseDragDropBands = Permitir o no cerrar la Barra de herramientas

• NoClosingComponents = Permitir o no cerrar los componentes de Active

Desktop

• NoComponents = Permitir o no todos los elementos del Escritorio

• NoDeletingComponents = Permitir o no borrar componentes de Active Desktop


[email protected] • NoEditingComponents = Permitir o no editar componentes de Active Desktop

• NoHTMLWallPaper = Permitir o no presentar fondo en HTML de Desktop

HTML

• NoMovingBands = Permitir o no mover barra de herramientas

• Subclave WinOldApp:

• Disabled = Desactivar el símbolo MSDOS

• NoRealMode = No permitir reiniciar el equipo en MSDOS (Win95\98)

También podemos encontrar las subclaves: Explorer, Network, System y

ActiveDesktop en:

HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Policies

y:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

Lo que esté en ".Default" se le aplican a todos los usuarios.

Si hay más de un usuario, aquí aparecerá una clave por cada uno de ellos.

Explorer

• CDRAutoRun [hex] = Permite o no Autoarranque de CD-R(W)\DVD-R(W)

• ChannelNotify = Permitir o no notificación de cambio de disco (Win98\ME +

IE4\IE5\IE6)

• ClassicShell [hex] = Habilita el intérprete de comandos clásico(Win98\ME +

IE4\IE5\IE6)

• ClearRecentDocsOnExit = Borrar "Documentos recientes" al salir.

• EditLevel = Poner nivle de seguridad 0, 1, 2, 3 o 4

Atención: Puedes bloquear el ordenador si pones nivel 4

• EnforceShellExtensionSecurity = Seguridad en las claves shellextension

• ForceCopyACLWithFile = Permitir o no copiar archivo en NTFS

(WinNT4\2000\XP + IE4\IE5\IE6 )


[email protected] • IgnoreLinkInfo = Permitir o no presentar los enlaces.

• LinkResolve = Permitir o no presentar los enlacese

• MyDocsOnNet = Permitir o no Mis Documentos en Internet

• NoActiveDesktop = Permitir o no Active Desktop

• NoActiveDesktopChanges = Elimina la ficha Web del cuadro de diálogos

Propiedades de Pantalla

• NoAddPrinter = Permitir o no añadir nuevas impresoras.

• NoChangeStartMenu = Permitir o no hacer cambios en el Menu de inicio

• NoCommonGroups = Permitir o no Agrupar programas en el Menú de inicio.

(WinNT4\2000\XP)

• NoClose = Permitir o no cerrar el IE

• NoCustomizeWebView = Permitir o no personalizar Vista Web

• NoDeletePrinter = Permitir o no quitar la impresora.

• NoDeskTop = Permitir o no objetos en el Escritorio y botón derecho sobre el

Escritorio

• NoDevMgrUpdate = Permitir o no gestor de actualización de Windows

(Win98\ME\2000\XP)

• NoDrives [hex] = Poner o quitar disco en Mi PC\Explorer\IE

Atención: Realizarlo mejor con el TweakUI (My Computer)

• NoDriveTypeAutoRun [hex] = Permitir o no Autoarranque de CD\DVD

• NoEditMenu = Permitir o no Editar el Menú de inicio

• NoFavoritesMenu = Quitar o no "Favoritos" de Menú de inicio

• NoFileMenu = Permitir o no "Archivos" en Explorador de Windows y IE

• NoFileUrl = Permitir o no acceder a archivos locales mediante URL

• NoFind = Quitar o Poner "Buscar" en el Menú de inicio

• NoFolderOptions = Mostrar o no "Opciones de carpeta"

• NoForgetSoftwareUpdate = Permitir o no "Actualizar Programas de Windows"

(Win98\ME\2000\XP)

• NoHelp = Mostrar o no "Ayuda" en el Menú de inicios

• NoInternetIcon = Mostrar o no el icono Internet en el Escritorio

• NoLogOff = Mostrar o no "Cerrar sesión" en el Menú de inicio.

• NoMSAppLogo = Mostrar o no el logo de Microsofts (Win98\ME\2000\XP)

• NoNetConnectDisconnect = Permitir o no Desconectar de rede


[email protected] • NoNetHood = Ver o no Entorno de Red

• NoRecentDocsHistory = Permitir o no añadir nuevos documentos a

"Documentos" de Incio(Win98\ME)

• NoRecentDocsMenu = Mostar o no Documentos recientes en la configuración

del Menú de inicio

• NoResolveSearch = Quitar o no "Buscar" en Internet (Win98\ME +

IE4\IE5\IE6)

• NoResolveTrack = enable\disable Internet Address Tracking (Win98\ME +

IE4\IE5\IE6)

• NoRun = Quitar o no "Ejecutar" del menú de inicio

• NoSaveSettings [hex] = No salvar los cambios de configuración al salir

• NoSetActiveDesktop = Elimina "Active Directory" del submenú Configuración

del Menú Inicio.

• NoSetFolders = Permitir o no configurar Carpetas

• NoSetTaskbar = Permitir o no configurar la barra de tareas

• NoSettingsWizards = Permitir o no el Asistente de configuración(Win98\ME +

IE4\IE5\IE6)

• NoStartBanner [hex] = Permitir o no el Logo del IE

• NoStartMenuSubFolders = Mostrar o no subcarpetas en el Menú de inicio

• NoTrayContextMenu = Mostrar o no Menú contextual en la Bandeja de

Windows (zona reloj)

• NoViewContextMenu = Mostrar o no Menú contextual

• NoWebMenu = Mostrar o no Menú Web (Win98\IE 4.0)

• NoWindowsUpdate = Permitir o no Actualizar Windows(Win98\ME\2000\XP)

• NoWinKeys = Permitir o no la tecla Win

• RestrictRun = Permitir o no Ejecutar programas

Atención: Si activas este valor tal vez no puedas ejecutar ningún programa.

Algunos de estos valores también se encuentran en:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Expl

orer

Ejemplo:


[email protected] NoControlPanel [hex] = Permitir o no Panel de control

La mayoría de la configuración de "CURRENT_USER", sobre todo aquellas que

afectan al sistema, cambian automáticamente al modificar su valor similar en

"LOCAL_MACHINE".

Las restricciones de Internet Explorer 4.0x\5.xx\6.xx se encuentran bajo estas claves:

HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions

y:

HKEY_USERS\.Default\Software\Policies\Microsoft\Internet Explorer\Restrictions

Si hay más de un usuario configurado, cada uno tendrá su clave particular.

• NoAdressBar = desactiva la Barra de direcciones.

• NoBrowserContextMenu = Permitir o no menú contextual en HTML

• NoBrowserClose = Permitir o no Cerrar\Salir y Alt+F4 en "Archivo"

• NoBrowserSaveAs = Permitir o no Guardar\Guardar como... en "Archivo"

• NoBrowserOptions = Permitir o no Herramientas\Opciones de Internet

• NoFavorites = Permitir o no "Favoritos" y Alt+A

• NoFileOpen = Permitir o no "Abrir" de "Archivo", Ctrl+A y Ctrl+L

• NoFileNew = Permitir o no "Nuevo" en "Archivo" y Ctsl+U

• NoFileUrl = Permitir o no acceso a archivos locales mediente su Dirección

(URL)

• NoFindFiles = Permitir o no "Buscar" y F3

• NoLinksBar = desactiva la barra de enlaces.

• NoSelectDownloadDir = Permitir o no "Guardar como.." al bajar un archivo

• NoTheaterMode = Pemitir o no Pantalla completa (modo kiosko) y F11

• NoToolBar = desactiva la barra de herramientas

• NoToolbarOptions = desactiva añadir, eliminar y mover la barra de herramientas

Las restricciones de las Propiedades de Internet para MS Internet Explorer

4.0x\5.xx\6.xx (además del Panel de control) se encuentran en esta clave del Registro:


[email protected] HKEY_USERS\.Default\Software\Policies\Microsoft\Internet Explorer\Control Panel

En caso de que haya más usuarios, cada uno tendrá su clave con su configuración

particular.

• Accessibility = Permitir o no configurar "Accesibilidad"

• Advanced = Permitir o no configurar "Avanzado"

• AdvancedTab = Poner o quitar la ficha "Avanzado"

• Autoconfig = Permitir o no configurar "Autoconfiguración"

• Cache = Permitir o no confugurar la caché

• CalendarContact = Permitir o no configurar Contactos

• Check_If_Default = Permitir o no chequear si el IE es el navegador por defecto

• Connection Settings = Permitir o no Configurar la conexión

• Certificates = Permitir o no configurar "Certificados"

• CertifPers = Permitir o no configurar Certificados Personales

• CertifSite = Permitir o no configurar Certificados Públicos

• Colors = Permitir o no configurar Colores

• Connection Wizard = Permitir o no el Asistente de conexión

• ConnectionsTab = Permitir o no ficha de Conexiones

• Connwiz Admin Lock = Permitir o no Asistente de conexión administrativa

• ContentTab = Permitir o no la ficha de Contenidos

• Fonts = Permitir o no la ficha de Fuentes

• FormSuggest = Permitir o no configurar sugerencia de los Formularios

• FormSuggest Passwords = Permitir o no configurar clave

• GeneralTab = Permitir o no la ficha General

• History = Permitir o no la ficha Historial

• HomePage = Permtir o no configurar la página de inicio

• Languages = Permitir o no configurar Idiomas

• Links = Permitir o no configurar Enlaces

• Messaging = Permitir o no configurar MS Mesenger

• Profiles = Permitir o no configurar Perfiles

• ProgramsTab = Permitir o no la ficha Programas

• Proxy = Permitir o no configurar Proxy

• Ratings = permitir o no configurar la clave


[email protected] • ResetWebSettings = Permitir o no configurar Borrar Web

• SecAddSites = Permitir o no configurar Añadir sitios seguros

• SecChangeSettings = Permitir o no hacer cambios de seguridad

• SecurityTab = Permitir o no la ficha de seguridad

• Settings = Permitir o no cajas de Configuración

• Wallet = Permitir o no la configuración de MS Wallet (MS IE 5.xx)

Las políticas de restrccionde de MS Net Meeting se encuentran en esta clave:

HKEY_USERS\.Default\Software\Policies\Microsoft\Conferencing


particular

• CallSecurity = Permitir o no Seguridad

• IntranetWebDirURL = Permitir o no directorio Web en Intranet

• MaximumBandwidth = Permitir o no máximo ancho de banda

• NoAddingDirectoryServers = Permitir o no añadir servidores

• NoAdvancedCalling = Permitir o no "Avanzado"

• NoAllowControl = Permitir o no Control

• NoAppSharing = Permitir o no Compartir

• NoAudio = Permitir o no Audio

• NoAudioPage = Permitir o no configurar Audio

• NoChangeDirectSound = Permitir o no cambiar DirectSound

• NoChat = Permitir o no Chatear

• NoDirectoryServices = Permitir o no Servicios de directorios

• NoFullDuplex = Permitir o no Duplex

• NoGeneralPage = Permitir o no Generall

• NoNewWhiteBoard = Permitir o no Nueva Pizarra

• NoOldWhiteBoard = Permitir o no Vieja Pizarra

• NoReceivingVideo = Permitir o no recibir vídeo

• NoSecurityPage = Permitir o no Seguridad

• NoSendingFiles = Permitir o no Enviar archivos

• NoSendingVideo = Permitir o no Enviar Vídeo

• NoSharing = Permitir o no Compartir


[email protected] • NoSharingDesktop = Permitir o no Compartir Escritorio

• NoSharingDosWindows = Permitir o no compartir DOS + Windows

• NoSharingExplorer = Permitir o no Complartir Explorador

• NoTrueColorSharing = Permitir o no Compartir control de Color

• NoVideoPage = Permitir o no compartir control de vídeo

• NoWebDirectory = Permitir o no Directorio Web

• Use AutoConfig = Permitir o no autoconfiguración

HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Webcheck


particular

• NoChannelLogging = Permitir o no conectar a los canales

• NoScheduledUpdates = Permitir o no actualizar

SUPER APLICACIONES

Lo siguiente son aplicaciones diversas, y soluciones que se pueden dar a diversas

situaciones, usando el registro de Windows, así también como métodos poderosos

de manipulación del registro:

A: Eliminación manual del virus Bardiel(conocido también como Darby.c), en

Windows 98.


[email protected] Advertencia!!. Esta aplicación la corres a tu propio riesgo, te estoy pasando

el virus, en el zip comprimido(la clave es bardielcito), y vamos a desinfectar

manualmente este virus!!. En todo caso también te lo puedes bajar de la

siguiente web: www.gedzac.tk, en la sección de virus de MachineDramon.

Modificación Diciembre 2007: La página www.gedzak.tk ya no existe, sin

embargo puedes descargar el virus de

www.gedzac.com/binarios/mdm/darbyc.zip

1. Ejecutar el virus “darby.c.exe”, y te aparecerá el siguiente mensaje:

2 . Pues bueno, aunque no lo creas, el mensaje, es falso, el virus ya está

ejecutándose en tu máquina. Para comprobarlo, intenta ejecutar el

regedit(Inicio/Ejecutar/regedit). Te mostrará el siguiente mensaje:

3.Oopps!. Una de las características del virus, es que deshabilita la edición del

Registro, pues como ya sabemos, ha puesto la restricción “DisableRegistryTools”,

con el valor “1”. En este caso, dirás, bueno hago un programa en VBScript y

pongo ese valor a “0”, para poder tener acceso al registro de nuevo. El

código(copiar en un bloc de notas y grabar con “nombre.vbs”) sería el siguiente:


http://www.gedzac.tk/

http://www.gedzak.tk/

http://www.gedzac.com/binarios/mdm/darbyc.zip


[email protected] Dim virus virus.RegWrite

"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",0,"REG_DWORD"

virus.RegWrite

"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr",0,"REG_DWORD"

Pero te recomiendo que no lo hagas, porque el virus cuando detecte que el Editor de

Registro(regedit.exe) está abierto, lo cerrará y lo borrará!, así que mejor no

habilitemos el Editor del Registro.

Presiona Ctrl + Alt + Sup, y verás el Administrador de procesos:

Lo malo es que no te muestra los procesos ocultos y de sistema. Este virus al ser un

proceso oculto se ha autoatribuido características de proceso de sistema, así que no

vas a poder visualizar el proceso del virus con el Administrador de Tareas de

Windows.

Hay un programa llamado Process Explorer, es muy bueno para mostrar procesos y

DLL’s en uso en tiempo real. Búscalo en google y pruébalo.

Al ejecutarlo te muestra algo así:


[email protected]

Date cuenta que muchos de estos procesos no se mostraban con el Administrador de

Tareas de Windows. Bueno, los procesos que están enmarcados con Azul, son los

procesos generales de Windows, siempre serán los mismos, en cualquier máquina

que use Windows 98. Los que no están enmarcados, son programas adicionales que

se están usando por ejemplo el proceso del Word(winword.exe) o el proceso del

Winzip(winzip32.exe).

Windows cualquiera sea(W98, WinME, Win2000, WinXP, etc), casi nunca por no

decir nunca usa programa con las extensiones .bat, .scr, .pif, .com que tengan

procesos ocultos. Entonces se deduce que éstos son virus.

Hay casos en que el virus también usa extensiones .exe y se pone nombres parecidos

a archivos de sistema de windows tales como “sysdll.exe”, “sytems.exe”, por eso para

no confundirlos es necesario conocer bien los procesos que Windows 98 siempre usa

(enmarcados en azul).

Ahora veamos los procesos enmarcados en Rojo, eso confirma lo dicho, los

programas FREEGROUPSUNST.SCR, GRPSVCHOSTIMG.EXE,

MICROSETUP386.BAT, SDVHTFD.PIF, NGUVST].EXE, ITKLIKR.SCR (este


[email protected] virus cambia los nombres de las copias del virus, así que estos nombres pueden

variar, pero las extensiones seguirán siendo las mismas), están ejecutándose como

procesos ocultos, cosa que no es normal, entonces, esos son los procesos del virus!!!!.

Lo que debemos hacer es matar los procesos del virus, para que no se ejecute más,

para esto, selecciona cada proceso con el mouse y dale un clic y presionar la tecla

Sup(Del) y te mostrará lo siguiente:

Nos está preguntando si queremos matar el proceso de SDVHTFD.PIF. Por supuesto

que responderemos “SI”. Y de manera análoga haces con los otros procesos que

tengan extensiones .pif, .bat, .com, .scr.

4. Una vez que hayas matado los procesos del virus, ten mucho cuidado, !NO

ejecutes ningún programa! ¿Por qué? Pues porque este virus usa la técnica de

interceptación de ejecutables, osea que ha puesto en el registro que todos los

archivos .exe, .bat, .com, .bat, .scr, .pif, ejecuten primero el proceso del virus.

Normalmente la asociación de los archivos .exe debe ser

asi(HKEY_CLASSES_ROOT\exefile\shell\open\command):

Con el valor predeterminado "%1" %*.

La asociación de los archivos .com debe ser

asi(HKEY_CLASSES_ROOT\comfile\shell\open\command):


[email protected] Con el valor predeterminado "%1" %*. De manera análoga con los archivos .pif,

.bat, .

La asociación de los archivos .scr debe ser

asi(HKEY_CLASSES_ROOT\scrfile\shell\open\command):

Pero, cuando la máquina está infectada con este virus, mira como se muestra la

asociación de los archivos, en este caso de los .com:

Y así estarán también las asociaciones de los archivos .exe, .bat, .scr, .pif.

Así que si después de haber matado los procesos del virus ejecutas por ejemplo el

“command.com”, volverás a ejecutar el virus y así entrarás en un circulo vicioso

hasta que el virus empiece a borrar tus archivos y a hacer estragos en tu máquina.

Por eso repito: Una vez que hayas matado los procesos del virus, ten mucho cuidado,

!NO ejecutes ningún programa todavía!.

Así que antes de ejecutar cualquier .exe, .com, .scr, .pif, .bat después de haber

matado los procesos del virus, DEBEMOS RESTABLECER LAS ASOCIACIONES

DE LOS ARCHIVOS CON SUS EXTENSIONES VERDADERAS, para esto he

creado un programa .vbs:


Dim virus


[email protected]

klez="@%1@ %*" : klez=replace(klez,"@",chr(34))

klez1="@%1@ /S" : klez1=replace(klez1,"@",chr(34))

Set virus=CreateObject("WScript.Shell")

virus.RegWrite "HKEY_CLASSES_ROOT\exefile\shell\open\command\",klez

virus.RegWrite "HKEY_CLASSES_ROOT\comfile\shell\open\command\",klez

virus.RegWrite "HKEY_CLASSES_ROOT\batfile\shell\open\command\",klez

virus.RegWrite "HKEY_CLASSES_ROOT\piffile\shell\open\command\",klez

virus.RegWrite "HKEY_CLASSES_ROOT\scrfile\shell\open\command\",klez1

virus.RegWrite


virus.RegWrite


Este programa restablece las asociaciones de los archivos .exe, .com, .bat, .pif, .scr, a

su estado original, osea antes de que nuestra máquina se infecte con el virus. Luego

de ejecutar este programa, ya puedes ejecutar cualquier programa sin excepción.

Pero no ha terminado aún la eliminación total del virus!!, así que no te alegres

todavía, lo que hasta ahora hemos hecho es matar los procesos del virus, y

restablecer las asociaciones de las extensiones de los archivos.

Los programas maliciosos, ya sean virus, troyanos, keyloggers, bombas lógicas, etc,

tienen que asegurar Iniciarse cuando Windows se inicie, para esto han puesto sus

claves en cualquiera de las claves de Registro:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnc

e

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunO

nce.


[email protected] Y bueno este virus también ha hecho modificaciones en el autoexec.bat, system.ini,

win.ini.

Así que abrimos el msconfig.exe(Inicio/Ejecutar/msconfig.exe) y marcamos la ficha

autoexec.bat (El autoexec.bat es una archivo antiguo del DOS, se usaba para

ejecutar programas al inicio del DOS. Windows todavía lo usa, pero con la

característica agregada de que si se quiere ejecutar un programa al inicio de

windows(32 bits) se debe anteponer el sufijo “@win” seguido de la ubicación del

programa que queremos ejecutar) y vemos algo parecido a esto:

Lo que está enmarcado en rojo es muy raro, muy raro. El autoexec.bat, nunca

debería ejecutar archivos para windows y menos aún con esas extensiones .pif y .scr,

y para colmo con nombres raros como el que ves, así que de nuevo deducimos que

esa es una ruta para ejecutar el virus. Así que puedes desmarcar esa línea rara sin

temor a nada.(las 3 primeras líneas que ves son para indicar el modelo de video, el

código del idioma, y el controlador de teclado respectivamente). También puedes

eliminar esa línea rara en el verdadero autoexec.bat, busca el archivo autoexec.bat y

edítalo(ábrelo con el bloc de notas) y borra la líneas esa y guarda el archivo. Antes

anota el nombre de ese archivo y su ubicación, para después borrarlo. Con borrar


[email protected] las líneas en el autoexec.bat, sólo estamos evitando que se ejecuten al inicio de

windows.

Ahora volvamos al msconfig y vayamos a la ficha System.ini y expandamos el check

que dice [boot], te aparecerá algo así:

El archivo System.ini también permite ejecutar un archivo al inicio de windows, en

ese caso se debe poner al costado de ”shell=Explorer.exe” la ubicación del archivo

que queremos ejecutar, se ve claramente que ese no es un archivo de sistema de

windows ni nada por el estilo. Por lo general, por no decir siempre, aparece

“shell=explorer.exe” nomás, cualquier cosa a su costado es sospechoso, así que

anotamos también el nombre del archivo sospechoso, en este caso “NgUvSt[.exe”.

NOTA: El “explorer.exe” es el programa principal de windows, es el que te muestra

toda la pantalla esa de windows(menú, inicio, carpetas, en fin, es casi todo el entorno

de windows).

Bueno, sigamos, busca el archivo System.ini, edítalo y se muestra algo así:


[email protected]

Solamente borra lo que está enmarcado, y guarda el archivo y listo. Listo, una ruta

menos de Ejecución automática del virus.

Ahora volvamos nuevamente al msconfig y selecciona la ficha Win.ini y expande el

check llamado [windows] y aparecerá algo así:

En Load y Run, también se ponen los programas que se quiere que se ejecuten al

inicio de windows, por lo general también están vacíos, y además vemos muy raro

ese nombre, lo anotamos también. Buscamos el archivo Win.ini, y edítalo, y se

muestra algo así:


[email protected] Borra sólo lo que está enmarcado, guarda el archivo y listo.

La ficha Inicio, como ya lo mencioné antes, contiene los archivos que se ejecutan al

inicio que están especificados en el Registro de windows, en claves determinadas.

Veamos la ficha Inicio del msconfig:

Anotamos los nombre raros, esos marcados en rojo, con extensiones pif, scr, bat, exe,

com, pues no son archivos de windows, son el virus, con distintos nombres.

Pues vamos a la clave:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run y

encontramos esto:

Y encontramos lo mismo que en la ficha Inicio del msconfig, y bueno, borramos esos

valores y listo. También debemos de haber anotado el nombre de esos archivos.

Luego lo único que nos queda es buscar esos archivos cuyos nombres anotamos y los

borramos y listo.


[email protected] Ahora sólo falta una cosa, el virus, probablemente ha dejado otros valores en el

registro, y de hecho que lo ha hecho. Así que abramos nuevamente el Editor del

Registro, y busca nombres relacionados tales como gedzac, darby, bardiel, y sin más

ni más borralos.

Listo!!!, si has hecho todo bien, ya estamos sin virus, ni nada de eso, como si nada

hubiera pasado. Felicitaciones!!!. Is your own hack!!! Follow this way and you’ll

become a hacker!!!. Learn whatever you can!! Never stop, if you have arrived here,

yo go by the correct way.!!!

Hacking=Knowledge, Knowledge=Freedom, Freedom is POWER!!.

B: Manipulación del registro a través del MS-DOS en Win 98.

Bueno, esta aplicación se puede usar cuando quieras extraer o importar claves del/al

registro sólo usando el MS-DOS.

B.1. Extraer claves del Registro y guardarlas a un archivo.

En el MS-DOS escribe:

regedit /e nombredearchivo [ClavedelRegistroaExportar]-

Ejemplo: regedit /e mitruco.reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Este comando extraerá la clave

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run y la guardará en el

archivo “mitruco.reg”. El archivo se verá algo así:

Si recuerdas, en esa clave están las ubicaciones de los programas que queremos que

se ejecuten al inicio de Windows.


[email protected] Ahora, agreguemos un valor, para ejecutar el command.com al inicio de windows,

agrega al final del archivo lo siguiente:

Y guarda el archivo. Pasemos al siguiente paso.

B.2. Importar claves de un archivo al Registro.

Vamos a importar(Ingresar) las claves de este archivo al Registro. Para esto en el

MS-DOS, escribe esto:

Regedit /s nombredearchivo

/s : Es opcional, es cuando no quieres que aparezca una ventana de

confirmación preguntando si estás seguro que quieres agregar la información del

archivo al Registro.

Ejemplo:

Listo, Registro manipulado a través del MS-DOS.!!

C: Eliminación manual del virus Bardiel.d (darby.c) de Win XP.

Advertencia!!. Esta aplicación la corres a tu propio riesgo, te estoy pasando

el virus, en el zip comprimido(la clave es bardielcito), y vamos a desinfectar

manualmente este virus!!. En todo caso también te lo puedes bajar de la

siguiente web: www.gedzac.tk, en la sección de virus de MachineDramon.

La eliminación de este virus, en Win Xp será más alucinante, pues vamos a usar

mucho el Intérprete de comandos que tiene Xp(cmd.exe). Este intérprete tiene

comandos diversos, entre ellos uno que permite la total manipulación del registro

solamente usando el Intérprete, otro que permite visualizar todos los procesos que se

están ejecutando en una máquina e incluso en una máquina remota, otro que

permite matar estos procesos también. Y muchos más!!.

http://www.gedzac.tk/


[email protected]

Primero, ejecutar el virus Darby.c, y se muestra el siguiente mensaje:

Como ya dijimos anteriormente, este es un mensaje falso, el virus en realidad ya

está ejecutándose en tu máquina. Este virus, en Windows Xp no sólo evita que

puedas acceder al Editor del registro, sino que también a veces evita que aparezca

el Administrador de Tareas, compruébalo: Intenta abrir el Editor de registro, y te

aparecerá esto:

Hasta aquí sabemos que el virus ha puesto el valor de “DisableRegistryTools” con

el valor de “1”, para que no podamos editar el Registro.

Hay veces que también no nos deja ver el Administrador de tareas, presionando

Ctrl + Alt + Sup. Así que para no estar esperando que nos restrinja el acceso al

Administrador de Tareas, mejor vamos a usar el poderoso Intérprete de

comandos.

Abre un Intérprete de comandos, y escribe: tasklist y Enter, y te mostrará los

procesos ejecutándose en tu máquina:


[email protected]

Fíjate bien en los procesos enmarcados en amarillo, son raros, además Windows

no tiene ningún programa que tenga esos nombres, fíjate también que incluso

intenta despistarnos con nombres como CLIPGROUPSUPD.PIF, , como ya lo dije

mira también esas extensiones.

Bueno los números al costado de estos procesos son llamados PID’s (Process

IDentifier’s)(Son números que el Sistema Operativo asigna a cada proceso para

identificarlos, así cuando quiere usar ese proceso, solamente puede usar ese

número(PID) para referirse a él.

Así que anota cada PID de cada proceso raro(enmarcado en amarillo en nuestro

caso), solamente de los raros y desconocidos, no lo olvides, en mi caso yo anoto: 1832,

1296, 160, 368, 728 y 1724.

Ahora en el Intérprete de comandos, escribimos esto:

taskkill /f /pid numerodeprocesoquequeremosmatar Así:


[email protected] La opción /f es para forzar el cierre de esos procesos, ya que muchas veces algunos

procesos no se dejan matar tan fácilmente, por eso la opción /f, no le dará espacio a

negarse. Jajajaja

Y así de manera rápida con cada proceso cuyo PID anotaste. Luego que has matado

todos estos procesos (que eran del virus), debemos asegurarnos de que hemos

matado a todos esos indeseables, así que escribimos de nuevo en el intérprete:

tasklist

Mira que ya no hay procesos raros ahora, pero si en tu máquina aparecen todavía,

anota sus PID’s y vuelve a eliminarlos con el taskkill.

Bueno, ahora que hemos matado los procesos del virus. Tengamos cuidado, no

ejecutes todavía ningún programa!!!!. Ya sabes que este virus ha modificado las

asociaciones de las extensiones .exe, .com, .bat, .pif, .scr, .cmd, con los programas del

virus. Así que debemos restablecer esas asociaciones, volvemos a usar el programa

en VBScript:


Dim virus

klez="@%1@ %*" : klez=replace(klez,"@",chr(34))

klez1="@%1@ /S" : klez1=replace(klez1,"@",chr(34))


[email protected]

Set virus=CreateObject("WScript.Shell")

virus.RegWrite "HKEY_CLASSES_ROOT\exefile\shell\open\command\",klez

virus.RegWrite "HKEY_CLASSES_ROOT\comfile\shell\open\command\",klez

virus.RegWrite "HKEY_CLASSES_ROOT\batfile\shell\open\command\",klez

virus.RegWrite "HKEY_CLASSES_ROOT\piffile\shell\open\command\",klez

virus.RegWrite "HKEY_CLASSES_ROOT\cmdfile\shell\open\command\",klez

virus.RegWrite "HKEY_CLASSES_ROOT\scrfile\shell\open\command\",klez1

virus.RegWrite


virus.RegWrite


Lo ejecutamos y listo, ya tenemos las asociaciones originales con las extensiones.

Después de esto, ya podemos ejecutar cualquier programa. Y también podemos

abrir el Editor del Registro, y también ver el Administrador de Tareas.

Ahora el paso final: Debemos de evitar que el virus se vuelva a activar con el Inicio

de Windows.

Abramos la Utilidad de Configuración del sistema(msconfig.exe) y vayamos a la

ficha Inicio, te preguntarás y porqué ya no voy a las fichas System.ini y Win.ini. La

respuesta que Windows XP maneja de manera diferente a estos archivos, de tal

modo que ya no los utiliza para cargar programas al Inicio de Windows, aunque lo

podría hacer tal vez, pero este virus, no lo hace. Así que sigamos en la ficha Inicio:


[email protected]

Ya puedes ver que este virus ha intentado asegurar su estadía en tu máquina, anota

los nombre de estos archivos, su ubicación y las claves del Registro en las que aloja

las llamadas a estos programas.

Abre el Editor del registro y ve a la clave:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Borra estas dos claves que son las que llaman al virus al inicio de Windows, y busca

los nombre de esos archivos en la ubicación mostrada, por ejemplo, en mi caso: en

C:\WINDOWS\system32\CLIPGROUPSUPD.PIF, y borra ese archivo.

Es más que seguro que no vas a encontrar ese archivo, así nomás pues se ha puesto

atributos de sistema y oculto. Así que abre de nuevo el Intérprete y escribe lo

siguiente:

cd \windows\system32


[email protected]

Para ver los archivos ocultos, escribe: dir /ah

Para ver los archivos de sistema, escribe: dir /as


[email protected]

Date cuenta que los mismos archivos se muestran como archivos de sistema y ocultos

a las vez, esto hace un poco difícil la tarea de eliminarlos, así que vamos a quitarles

esos atributos. Escribe ahora en el Intérprete:

attrib -h -s *.*

Al hacer esto se quita los atributos de ocultos(-h) y de sistema (-s) a todos los

archivos(*.*). Después de hacer esto, busca cada archivo, para buscar archivos en el

Intérprete escribir:

dir regview*.com

Lo que ha hecho este comando es mostrar todas las palabras que empiecen por

“regvie” y el asterisco indica que después de “regvie” no importa que diga, sólo

mostrará los archivos cuyos nombres empiecen por “regvie”.

Luego, para eliminar los 2 archivos virus que nos muestra, escribimos:

del nombredearchivo


[email protected]

De forma análoga, haz con los demás archivos virus:

El último nombre que estaba en la ficha Inicio del Msconfig, estaba en la siguiente

ubicación:

Busca también esa clave en el registro y bórrala.

Ahora, falta sólo unas cositas más. Windows Xp, al iniciarse, llama al explorer.exe

desde el registro, esta llamada está en la siguiente clave de Registro:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Al costado derecho esta un valor del tipo cadena llamado “Shell”, míralo y verás que

tiene la llamada al programa explorer.exe. Normalmente solamente debiera haber la

llamada a este programa, pero como el programador de este virus se dio cuenta de

esto, intentó asegurar también la ejecución de su virus por este medio.

Entonces lo único que nosotros debemos hacer es dar clic derecho en este valor de

cadena llamado “shell” y escoger modificar, y solamente borrar lo siguiente:


[email protected]

Y luego das en Aceptar.

Luego de esto, abre el Intérprete y busca el archivo ese X’’BJT].scr y bórralo,

después lo único que debes hacer es buscar en el registro palabras relacionadas con

el virus tales como bardiel, darby, gedzac, etc.

Finalmente, estás libre del virus!!!. Felicitaciones nuevamente!!.

Ten cuenta, que muchas de estas técnicas, pueden ser aplicadas para la eliminación

de otros virus. Ya tienes las bases suficientes, que por cierto son poderosas. Ahora

sólo tu imaginación pondrá los límites.

Nota agregada Diciembre 2007:

Este documento fue escrito aproximadamente en Abril de 2005. No he querido

modificar ya nada, toda la información aún es válida. Es uno de mis tutoriales que

hice en tiempos que estaba en la universidad. Lo dejo a propósito sin modificaciones

por respeto al conocimiento que tenía en aquel tiempo. Es claro también que hay

muchas cosas que no están cubiertas aquí. Traté de mostrar en este tutorial formas

de aplicar el conocimiento obtenido a situaciones de la vida real que en aquel tiempo

y que hasta ahora fueron y son válidas.