WinLockLess, a pesar de ser tremendamente sencilla, ha tenido un éxito
inesperado si nos atenemos al número de descargas (contabilizamos unas
75.000 entre los diferentes puntos de distribución desde abril, aunque
el uso real puede rondar en los 40.000 usuarios). Es por esta razón que hemos decidido actualizarla para añadirle una función extra que puede resultar de utilidad.
WinLockLess era una simple ayuda para llevar a cabo una medida de seguridad que considero elemental: modificar los permisos de ciertas ramas del registro en las que se puede añadir malware durante el arranque.
Así, se evitan en lo posible los bloqueos (tipo virus de la policía) y
la perpetuación de otras infecciones. Aunque se han escrito artículos
que no han captado la absoluta simplicidad de la herramienta (se ha
dicho desde que es un antivirus hasta que monitoriza el sistema), son
muchos usuarios los que la han descargado. Y, por el escasísimo nivel de
incidencias, parece que ha sido útil.
El pharming es una técnica que consiste en modificar el archivo hosts
del sistema para que un dominio (normalmente un banco o un sistema de
actualización) apunte a otra IP. En esa IP de otro servidor se aloja
una copia de la web del banco, o bien nada (para bloquear la
actualización). Este sistema, que comenzó a popularizarse en forma de
malware hace muchos años, sigue impresionantemente vigente.
¿Cómo protegerse?
Existen herramientas que monitorizan el fichero buscando cambios no
deseados (al igual que las que monitorizan las ramas del registro), pero
la filosofía de WinLockLess es un poco más "radical".
El archivo hosts es un archivo que un usuario medio rara vez deberá
modificar. Por tanto, no es descabellado bloquearlo con los permisos.
Esta es la función que se ha añadido a WinLockLess. Ahora añade una
casilla para proteger el archivo hosts del sistema, impidiendo que el
grupo "Todos" escriba en él
gracias a los permisos NTFS. A no ser que el malware (ya como
administrador) modifique los permisos antes de escribir en él (cosa que
aún no hemos visto), no podrá realizar la escritura en el archivo.
Dada la difusión del malware de este tipo (sobre todo en México y Sudamérica)
creemos que puede resultar útil. Puesto que WinLockLess se encuentra
muy distribuido y cuenta con un sistema de comprobación de nuevas
versiones, a todos los usuarios que lo lancen a partir de ahora se les
ofrecerá la opción de su actualización.
Puede ser descargado desde http://hispasec.com/winlockless/winlockless.exe
Más información:
Hispasec presenta WinLockLess: Herramienta para prevenir el arranque de
programas en el inicio de Windows (y su potencial bloqueo)
Sergio de los Santos
Twitter: @ssantosv
No hay comentarios:
Publicar un comentario