Malware y registro de Windows: Top 10

Obviamente, la existencia de un lugar centralizado para la configuración tiene sus ventajas y desventajas. Seguro que en su inicio, cuando no se preveía la existencia de maldad y se suponía "buen rollito" por parte de todo el mundo, era muy bueno.
Lo que no quita para que se vaya buscando un sustituto, pero ya se sabe que hoy en día se persigue en gran medida la compatibilidad con lo ya existente.

Por otra parte, Linux tiene también un problema semejante. Gran cantidad de ficheros de configuración están en el mismo directorio (/etc) con lo que quien tiene permiso para acceder a él (y para instalar, hay que tenerlo) puede perfectamente modificar y borrar otros ficheros que no le competan.

(Enhorabuena por tantos años y tan buenos artículos)

Fdo.: Ecnaton

En realidad sería parecido a linux si se protegieran todas las claves (menos las de tu propio usuario) con la cuenta de administrador+contraseña.

Y a mí que una de las más terribles me ha parecido siempre ésta:

HKEY_CLASSES_ROOT/exefile/shell/open/command

No entiendo cómo no se usa más. Porque un EXE siempre cae, en el inicio del sistema o en cualquier otra situación.

La principal razón de que el registro de Windows me parezca una porquería es que se estropea fácilmente. Cuando digo fácilmente no quiero decir dia sí, día no, pero en las versiones anteriores a Windows XP era un problema muy usual. Peor aún, un registro corrupto tenía mal arreglo; a pesar de haber herramientas (del propio sistema) para repararlo, esto no solía ser posible y obligaba a reinstalar el sistema de nuevo.

Este registro es una "simple" base de datos apelotonada en un solo fichero con todo lo que conlleva. Si se añade un dato lo más eficiente es ponerlo al final. Si se borra aparece un hueco en medio. ¿Al añadir un dato nuevo lo ponemos en el hueco si cabe o al final? Instalar, desinstalar, instalar, desinstalar... en mi opinión este registro también es el culpable de que un sistema Windows con muchos meses de uso se vuelva lento.

Creo que me fui un poco del tema. Respecto al malware "listillo", me gustaría que el editor del registro me permitiese editar otro fichero, para así poder hacer este tipo de mantenimiento desde otra instalación cuando resulte infectada la otra... o para arreglar otros desaguisados.

El problema no es un modelo de configuración centralizado(Win) o no(LNX), el problema es que la inmensa mayoria de usuarios de Windows trabaja con cuenta de administrador. Y así pasa.

Para saber que programas se inician realmente, recomiendo una utilidad llamada AutoRuns, de Sysinternals (recientemente comprada por M$).

Por otro lado, el modelo de seguridad UNIX/LINUX tiene una gran ventaja con respecto a Win, y es que para ejecutar un script, debemos darle permisos de ejecución explicitamente, por lo que una infección es mucho menos problable.

www.devjoker.com

Perdona, pero el registro es una de las cosas que mejor funcionan, de hecho, en entornos gráficos para linux existen cosas similares. El poder conocer si una librería está cargada o la configuración de seguridad del sistema de forma centralizada es una buena idéa.

Y para modificar el registro hay que tener permisos especiales, no lo puede modificar cualquier usuario.

me explico, siempre la gente habla sobre la posibilidad de usar deepfreeze para proteger windows de la degradacion, pero el problema es que tambien protege al registro, con lo cual si es tu pc, es facil, cada vez que tengas que añadir o eliminar soft que ya no necesitas descongelas y vuelves a congelar, previo repaso del mismo.

El tema es cuando llevas el mantenimiento en maquinas ajenas, de empresas o particulares, entonces ya no puedes usar deepfreeze porque cualquier dia necesitan instalar soft eventualmente y con deepfreeze lo tienen jodido. Esta claro que estas personas podrian molestarse en aprender a manejar el deepfreeze, pero mi trabajo consiste en proteger los equipos de su mal uso, y un deepfreeze inteligente que aceptara cierto tipos de cambios en el regedit estaria muy bien.

Hace tiempo tambien vi una guia para proteger el regedit con password, algo muy util pero ya no recuerdo donde lo vi, de momento uso el ad-wath para saber en cada momento que programa intenta modificar el regedit y donde intenta introducir claves. Protegerlo con clave aliviaria la carga del pc al dejar de usar este programa.

El otro dia tuve que ir a limpiar un pc, tenia infectada la memoria usb, arranque con un live cd y pude inspeccionar tranquilamente los scripts del mismo, la verdad estaba bastante currado, y modificaba valores que hacia tiempo que no inspeccionaba en el regedit, como SuperHiddenShow o algo asi, en M$->Win NT -> Current Version -> winlogon

Un saludo de un reciente adepto de arch.

Aunque con mi enfermedad de pruebotodaslasdistrosqueahi la proxima vez(dentro de muy poco) le metere mano a gentoo :D

p.d.: No me gusto mucho la idea de que en aur puedan existir paquetes con malware, tal vez sea una posibilidad remota pero algo asi lei en una guia, que hay de cierto?

pacogp.wordpress.com Porque todo grano hace montaña.

Ya que parece ser la opinión de los que saben, pero... Es mucho pedir una utilidad de configuración que me permita hacer cambios, y controlar esos cientos de archivos de configuración? (one app to rule them all...) Creo que es lo único que me gustó de Solaris10.

Se pueden establecer permisos en el registro. De hecho es una practica habitual.

Sobre registros corruptos?? No he visto eso en mi vida. De hecho creo que es una falacia. Suele ser la tipica escusa de quien no sabe lo que ocurre en una maquina

c1ru es posible que pueda existir malware en cualquier software, el problema esta en que tanto confies en el distribuidor, en mi caso utilizo mas o menos 7 paquetes de AUR y siempre me leo el PKGBUILD para ver si hay algo sospechoso y reviso los sources que descarga para ver si son los de verdad del paquete que quiero instalar, claro los PKGBUILDS los revisan algunas personas y los que tienen privilegios de packagers (o algo asi) los pueden marcan como buenos o como tal vez tengan cosas malitas, al final solo nos quedan 2 opciones: confiar en los packagers y desarrolladores o revisar todo el codigo fuente antes de ejecutar en nuestra maquina, por eso trato en la mayor parte de no utilizar software de codigo cerrado, al menos pudiendo leer codigo pienso que es muy probable que alguien lo haya leido en algun momento por mi

El registro de Windows tiene asociados permisos (parecidos a las ACL del sistema NTFS).

Esto quiere decir, que no todo el mundo puede escribir en el registro de windows, al contrario de lo que se pregona en el artículo ("cualquier programa puede modificar, tanto en la parte que le toca como en la que no"). Podemos decir sin miedo a equivocarnos, que en cuanto a seguridad está bien diseñado.

El problema surge por la costumbre de que los usuarios en Windows sean administradores, la cual hace que cualquier persona sin conocimientos importantes del sistema operativo pueda creerse el rey del mambo, pero que abre la puerta a que el malware ejecutado pueda incluirse en ciertas claves del registro.

Es cierta la afirmación que nos dice que el registro está mal documentado... y es que la tarea de documentar el registro de Windows es bastante poco sencilla

Gracias, Devjoker, por informar del programa AutoRuns. No conocía su existencia y me vendrá muy bien en mi trabajo.

Un saludo, amigo.