CodeHard
Artículos computacionales
oct 30, 21:52
Ubicado en Anti-Malwares
Hola gente
Luego de varios problemas con mi disco duro, que les comento que pasó a mejor vida junto a muchos de mis proyectos :c, me decidí a escribir algo por aquí.
Una cosa lleva a la otra, es decir, un disco nuevo lleva a tener que instalar Windows y la mayoría de sus programas, lo que también me ha llevado a instalar salvaguardas para la protección contra malwares, y entre ellos el SpywareBlaster, lo que me ha hecho estar escribiendoles en este momento.
SpywareBlaster no es un escaner ni un residente, es una aplicación que inmuniza los sistemas Windows contra la instalación de controles ActiveX maliciosos, lo que es una gran protección fundamentalmente para los que usan Internet Explorer. Pero la pregunta que todos nos hacemos ¿Cómo funciona este programa? ¿Qué es lo que hace? ¿Magia tal vez? Para los curiosos aquí está el secreto...
En primer lugar procedí a instalarlo, y por lo que se puede observar a simple vista el programa está compuesto únicamente por su ejecutable principal, un actualizador y unos archivos que no son más que la base de datos del programa, no instala ninguna librería auxiliar, ningún servicio, ni nada por el estilo. Para los que simplemente desean conocer como utilizar el programa, lamentablemente se equivocaron de lugar, pero les recomiendo este manual redactado por la web de InfoSpyware. Por hoy solo nos centraremos en lo que hace principalmente el programa.
Sin muchas vueltas, con ayuda de algunos monitores de registro y de archivos, más precisamente el RegMon y el FileMon para seguir el proceso en tiempo real, y el RegShot para apreciar el resultado final, podemos concluir fácilmente que lo que hace el SpywareBlaster es simplemente añadir entradas a las siguientes subclaves del registro de Windows:
Quizás alguno de ustedes halla escuchado o hasta conozca alguna o varias de estas subclaves, yo personalmente conocía las dos primeras, pero no la última (para mí la más interesante), de igual modo pasaré a explicar de una manera rápida y entendible cada una de ellas.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History
Esta subclave del registro, añadida en IE6, permite bloquear la instalación de cookies de las páginas web que deseemos. Para hacerlo, simplemente creamos dento de ella una subclave con el dominio de la página web, y establecemos su valor predeterminado como tipo DWORD con el número 5. Si por ejemplo quisieramos agregar con un archivo de backup del registro (.reg) una clave que bloquee las cookies de esta página (por favor solo tomenlo como ejemplo :P) debería ser así:
SpywareBlaster añade entradas a esta subclave con páginas maliciosas, de esta manera "nos prohibe" por así decirlo de instalar cookies de estas páginas. Para saber que páginas bloquea el SpywareBlaster, la mejor manera es instalar el programas, y echarle un ojo a la entrada con el regedit o algún editor del registro.
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
Esta subclave almacena los dominios de la opción "Sitios restringidos" de las Opciones de Internet del IE. SpywareBlaster también tiene una gran base de datos con dominios de páginas maliciosas que permite protegernos contra ellas. Para crear una entrada de Sitios restringidos, simplemente hay que crear una subclave nombrada con el nombre del dominio a bloquear, y luego crear un valor DWORD con el nombre "*" (asterisco, sin las comillas, que es un comodín para bloquear las posibles variaciones del dominio) con el número 4. El código del archivo reg ejemplificativo para bloquear este sitio sería el siguiente:
Cabe aclarar que también podemos agregar las entradas desde las Opciones de Internet del Panel de control,en la pestaña Sitios, en la sección de Sitios resringidos.
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility
Esta última subclave, la cuál considero la más interesante, es la que le permite al SpywareBlaster bloquear controles ActiveX, mediante un método denominado kill bit (bit de cierre) lo que provoca que cuando el IE haga una llamada al control ActiveX, mediante su CLSID (identificador único de una librería u objeto), este no se ejecute. En realidad, esta opción fue introducida en Windows con el objetivo de deshabilitar controles vulnerables al instalar parches de seguridad, pero es provechosamente utilizada por este programa para inmunizar contra ActiveX. Para añadir un kill bit se debe crear una subclave nombrada con el CLSID del control (entre corchetes), y luego dentro de ella crear un valor DWORD llamado "Compatibility Flags" (sin las comillas) con el número 400 en hexadecimal (1024 en decimal). El código de ejemplo para un archivo reg (suponiendo que el CLSID del control es 00000000-0000-0000-0000-000000000000) sería el siguiente:
Como ven es muy sencillo desactivar controles ActiveX mediante kill bits, lo único que necesitamos es conocer el CLSID del control para poder deshabilitarlo.
Conclusiones
Como ven, SpywareBlaster no es mágico, no es nada más ni nada menos que una base de datos. Por lo personal recomiendo su instalación, ya que no consume recursos, especialmente a los usuarios de Internet Explorer. Debo confesar que se me ocurrió dejarlas un archivo reg con el contenido de las tres subclaves anteriores las cuales instala el programa, pero decidí no ponerla ya que considero que el programa nos ofrece la posibilidad de actualizarse, además de que sería un "robo" a los de javacool innecesario. Lo único, no olviden que es solamente una protección más, si bien gran parte de los malwares se propagan por Internet, instalen un antivirus, y si creen necesario, un buen cortafuegos, y sobre todo, sean concientes al navegar y al descargar archivos. Próximamente escribiré otros documentos de prevención, pero recuerden, la mejor protección es la propia conciencia.
Espero que a alguno le halla interesado y como siempre me gustaría que me dejen su crítica en los comentarios. Para los que quieren saber más sobre el tema, en la página de Microsoft hay bastante información, tanto en inglés como en español.
Salu2
Luego de varios problemas con mi disco duro, que les comento que pasó a mejor vida junto a muchos de mis proyectos :c, me decidí a escribir algo por aquí.
Una cosa lleva a la otra, es decir, un disco nuevo lleva a tener que instalar Windows y la mayoría de sus programas, lo que también me ha llevado a instalar salvaguardas para la protección contra malwares, y entre ellos el SpywareBlaster, lo que me ha hecho estar escribiendoles en este momento.
SpywareBlaster no es un escaner ni un residente, es una aplicación que inmuniza los sistemas Windows contra la instalación de controles ActiveX maliciosos, lo que es una gran protección fundamentalmente para los que usan Internet Explorer. Pero la pregunta que todos nos hacemos ¿Cómo funciona este programa? ¿Qué es lo que hace? ¿Magia tal vez? Para los curiosos aquí está el secreto...
En primer lugar procedí a instalarlo, y por lo que se puede observar a simple vista el programa está compuesto únicamente por su ejecutable principal, un actualizador y unos archivos que no son más que la base de datos del programa, no instala ninguna librería auxiliar, ningún servicio, ni nada por el estilo. Para los que simplemente desean conocer como utilizar el programa, lamentablemente se equivocaron de lugar, pero les recomiendo este manual redactado por la web de InfoSpyware. Por hoy solo nos centraremos en lo que hace principalmente el programa.
Sin muchas vueltas, con ayuda de algunos monitores de registro y de archivos, más precisamente el RegMon y el FileMon para seguir el proceso en tiempo real, y el RegShot para apreciar el resultado final, podemos concluir fácilmente que lo que hace el SpywareBlaster es simplemente añadir entradas a las siguientes subclaves del registro de Windows:
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History
- HKU\S-1-5-21-746137067-1454471165-839522115-1003\
Software\Microsoft\Windows\CurrentVersion\Internet Settings\
ZoneMap\Domains - HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility
Quizás alguno de ustedes halla escuchado o hasta conozca alguna o varias de estas subclaves, yo personalmente conocía las dos primeras, pero no la última (para mí la más interesante), de igual modo pasaré a explicar de una manera rápida y entendible cada una de ellas.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History
Esta subclave del registro, añadida en IE6, permite bloquear la instalación de cookies de las páginas web que deseemos. Para hacerlo, simplemente creamos dento de ella una subclave con el dominio de la página web, y establecemos su valor predeterminado como tipo DWORD con el número 5. Si por ejemplo quisieramos agregar con un archivo de backup del registro (.reg) una clave que bloquee las cookies de esta página (por favor solo tomenlo como ejemplo :P) debería ser así:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\codehard.wordpress.com]
@=dword:00000005
SpywareBlaster añade entradas a esta subclave con páginas maliciosas, de esta manera "nos prohibe" por así decirlo de instalar cookies de estas páginas. Para saber que páginas bloquea el SpywareBlaster, la mejor manera es instalar el programas, y echarle un ojo a la entrada con el regedit o algún editor del registro.
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
Esta subclave almacena los dominios de la opción "Sitios restringidos" de las Opciones de Internet del IE. SpywareBlaster también tiene una gran base de datos con dominios de páginas maliciosas que permite protegernos contra ellas. Para crear una entrada de Sitios restringidos, simplemente hay que crear una subclave nombrada con el nombre del dominio a bloquear, y luego crear un valor DWORD con el nombre "*" (asterisco, sin las comillas, que es un comodín para bloquear las posibles variaciones del dominio) con el número 4. El código del archivo reg ejemplificativo para bloquear este sitio sería el siguiente:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\codehard.wordpress.com]
"*"=dword:00000004
Cabe aclarar que también podemos agregar las entradas desde las Opciones de Internet del Panel de control,en la pestaña Sitios, en la sección de Sitios resringidos.
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility
Esta última subclave, la cuál considero la más interesante, es la que le permite al SpywareBlaster bloquear controles ActiveX, mediante un método denominado kill bit (bit de cierre) lo que provoca que cuando el IE haga una llamada al control ActiveX, mediante su CLSID (identificador único de una librería u objeto), este no se ejecute. En realidad, esta opción fue introducida en Windows con el objetivo de deshabilitar controles vulnerables al instalar parches de seguridad, pero es provechosamente utilizada por este programa para inmunizar contra ActiveX. Para añadir un kill bit se debe crear una subclave nombrada con el CLSID del control (entre corchetes), y luego dentro de ella crear un valor DWORD llamado "Compatibility Flags" (sin las comillas) con el número 400 en hexadecimal (1024 en decimal). El código de ejemplo para un archivo reg (suponiendo que el CLSID del control es 00000000-0000-0000-0000-000000000000) sería el siguiente:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{00000000-0000-0000-0000-000000000000}]
"Compatibility Flags"=dword:00000400
Como ven es muy sencillo desactivar controles ActiveX mediante kill bits, lo único que necesitamos es conocer el CLSID del control para poder deshabilitarlo.
Conclusiones
Como ven, SpywareBlaster no es mágico, no es nada más ni nada menos que una base de datos. Por lo personal recomiendo su instalación, ya que no consume recursos, especialmente a los usuarios de Internet Explorer. Debo confesar que se me ocurrió dejarlas un archivo reg con el contenido de las tres subclaves anteriores las cuales instala el programa, pero decidí no ponerla ya que considero que el programa nos ofrece la posibilidad de actualizarse, además de que sería un "robo" a los de javacool innecesario. Lo único, no olviden que es solamente una protección más, si bien gran parte de los malwares se propagan por Internet, instalen un antivirus, y si creen necesario, un buen cortafuegos, y sobre todo, sean concientes al navegar y al descargar archivos. Próximamente escribiré otros documentos de prevención, pero recuerden, la mejor protección es la propia conciencia.
Espero que a alguno le halla interesado y como siempre me gustaría que me dejen su crítica en los comentarios. Para los que quieren saber más sobre el tema, en la página de Microsoft hay bastante información, tanto en inglés como en español.
Salu2
No hay comentarios
