Malware y registro de Windows: Top 10
Troyanos, gusanos y demás ralea suelen "inscribirse" en el registro de Windows para asegurarse de que serán ejecutados tras un reinicio.
Basándose en el comportamiento de varios miles de ejemplares de malware, en F-Secure han elaborado una clasificación de los puntos de lanzamiento más habituales, que serán también los primeros a revisar cuando se sospeche una infección (sin perder nunca de vista, claro, que tales claves también son utilizadas por instaladores de software no dañino)...
La verdad es que no hay grandes sorpresas. ¿Adivinan qué clave sigue prefiriendo a estas alturas casi el 40% del malware? Fácil: \Software\Microsoft\Windows\CurrentVersion\Run. Y es que si algo funciona, ¿para qué cambiarlo?.
En mi inmensa y proverbial ignorancia nunca he entendido la misma existencia del registro de Windows, una especie de descomunal y confuso fichero de configuración centralizado, bastante caótico y mal documentado, que cualquier programa puede modificar, tanto en la parte que le toca como en la que no, pudiendo dejar el sistema completamente inservible. También en esto prefiero sin dudar el modelo de configuración descentralizado de Linux, donde existen decenas de ficheros diferentes -cierto- pero todos perfectísimamente documentados y en la mayoría de los cuales sólo un root incompetente podría causar algún daño serio... si de verdad se lo propone.
FUENTE:
>> Top10 malware registry launchpoints [F-Secure].
- 1242 lecturas
Twitter
Es la (no)evolución
Obviamente, la existencia de un lugar centralizado para la configuración tiene sus ventajas y desventajas. Seguro que en su inicio, cuando no se preveía la existencia de maldad y se suponía "buen rollito" por parte de todo el mundo, era muy bueno.
Lo que no quita para que se vaya buscando un sustituto, pero ya se sabe que hoy en día se persigue en gran medida la compatibilidad con lo ya existente.
Por otra parte, Linux tiene también un problema semejante. Gran cantidad de ficheros de configuración están en el mismo directorio (/etc) con lo que quien tiene permiso para acceder a él (y para instalar, hay que tenerlo) puede perfectamente modificar y borrar otros ficheros que no le competan.
(Enhorabuena por tantos años y tan buenos artículos)
Fdo.: Ecnaton
Sí pero
Sí pero ese tipo es root.
En realidad
En realidad sería parecido a linux si se protegieran todas las claves (menos las de tu propio usuario) con la cuenta de administrador+contraseña.
a mi no se me parece
pensemos qué sería en linux el equivalente a una entrada de malware en Run para autoejecutarse tras el boot...
modificar o añadir un script a /etc/rc.d? Eso siempre sería más fácil de detectar que un mínimo cambio en una de las miles de claves del registry...
-- // zoombox // --
No creo
Las claves de inicio de windows como mucho son 10.
Cuestión de privilegios
Y para eso haría falta ser root.
Con GNU si instalas un programa como usuario normal no te puede joder la configuración de todo el sistema, solo la del resto de programas instalados por el mismo usuario.
EXEs
Y a mí que una de las más terribles me ha parecido siempre ésta:
HKEY_CLASSES_ROOT/exefile/shell/open/command
No entiendo cómo no se usa más. Porque un EXE siempre cae, en el inicio del sistema o en cualquier otra situación.
La principal razón
La principal razón de que el registro de Windows me parezca una porquería es que se estropea fácilmente. Cuando digo fácilmente no quiero decir dia sí, día no, pero en las versiones anteriores a Windows XP era un problema muy usual. Peor aún, un registro corrupto tenía mal arreglo; a pesar de haber herramientas (del propio sistema) para repararlo, esto no solía ser posible y obligaba a reinstalar el sistema de nuevo.
Este registro es una "simple" base de datos apelotonada en un solo fichero con todo lo que conlleva. Si se añade un dato lo más eficiente es ponerlo al final. Si se borra aparece un hueco en medio. ¿Al añadir un dato nuevo lo ponemos en el hueco si cabe o al final? Instalar, desinstalar, instalar, desinstalar... en mi opinión este registro también es el culpable de que un sistema Windows con muchos meses de uso se vuelva lento.
Creo que me fui un poco del tema. Respecto al malware "listillo", me gustaría que el editor del registro me permitiese editar otro fichero, para así poder hacer este tipo de mantenimiento desde otra instalación cuando resulte infectada la otra... o para arreglar otros desaguisados.
El problema es ser administrador de Windows
El problema no es un modelo de configuración centralizado(Win) o no(LNX), el problema es que la inmensa mayoria de usuarios de Windows trabaja con cuenta de administrador. Y así pasa.
Para saber que programas se inician realmente, recomiendo una utilidad llamada AutoRuns, de Sysinternals (recientemente comprada por M$).
Por otro lado, el modelo de seguridad UNIX/LINUX tiene una gran ventaja con respecto a Win, y es que para ejecutar un script, debemos darle permisos de ejecución explicitamente, por lo que una infección es mucho menos problable.
www.devjoker.com
www.devjoker.com
Yo creo que la tendencia
Yo creo que la tendencia de usar la cuenta administrador en windows recae en lo poco (nada) en el sistema operativo que te lleve a usar una cuenta con menos privilegios.
O sea, instala un Windows XP, crea usuarios y voila, todos son administradores. A esto sumale que la mayoria de las personas que ocupan windows son usuarios que quieren que todo este listo, que no se tenga que hacer ni configurar nada mas.
Es mas, por mucho tiempo use windows xp, y para definir una cuenta de usuario con un nivel decente de permisos (que no te pida permisos de administrador hasta para abrir el buscaminas) hay que ir mas alla de lo que el 99,9% de los usuarios comunes y corrientes de windows lo iria.
Sin ser ni siquiera algo cercano a un experto, considero que el estilo de los sistemas *nix es mucho mas solido, de partida te invita a gritos que no useas la cuenta root. incluso algunos ni siquiera te deja usarla si no es para ocaciones especificas.