|
VSantivirus No. 524 - Año 6 - Viernes 14 de diciembre de 2001
Como protegerse de modificaciones remotas del registro
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
¿Ha recibido recientemente algún correo no solicitado, con direcciones de caracteres indescifrables?. Algunos de estos sitios son páginas pornográficas, en países asiáticos. Pero luego de una visita (sana curiosidad investigativa ¿no? ;), resulta que ahora su explorador abre siempre por defecto en esa página, con todos los problemas familiares que ello puede traer.
También puede ocurrir que usted visite un sitio, que sin advertencia, crea modificaciones en el registro de su Windows.
O tal vez sea un virus el que le modifica la página de comienzo de su explorador.
Lo común al menos en estos tres ejemplos, es que los tres pueden hacer, sin nuestra intervención directa, cosas como "secuestrarle" la página de inicio de su navegador (que sería la más visible, aunque no la más molesta), hasta realizar cambios más profundos que ocasionarían cualquier tipo de daño en la integridad de su PC.
Ya habíamos escrito un artículo sobre este tema. Pero es bueno que lo tenga en cuenta.
Windows 98 (y Me) poseen por diseño la característica de que su registro pueda ser modificado desde Internet.
Aunque en el primer artículo sobre este tema (enero de 2001) comentábamos que la posibilidad de que un sitio malicioso o un atacante, gracias a esta característica implementada en Windows, pudiera leer, escribir o modificar el registro de nuestro PC, podría ser mínima, hoy día existen varios ejemplos (como los descriptos al principio), de que esto no solo es posible, sino que es una tendencia que podría ir en aumento.
El acceso remoto al registro de Windows, puede tener consecuencias impredecibles, que pueden ir desde el cambio de la página de inicio del browser como ya vimos, pasando por bloqueos o comportamientos extraños, hasta la posible ejecución de programas sin nuestra autorización.
El archivo de Windows que permite esto, es el módulo REGWIZC.DLL, (RegWizCtrl Module, o lo que es lo mismo el asistente para la edición del registro).
Este archivo es utilizado por programas como el propio Windows, cuando se realizan actualizaciones de su software por ejemplo. Pero como vimos, también puede ser usado en nuestra contra, si es controlado en forma remota desde Internet.
Afortunadamente, la forma de desactivar este módulo, es sencilla, si sigue estos pasos:
1. Pinche en Inicio, Ejecutar
2. Corte y pegue el siguiente texto en la ventana "Abrir:"
regsvr32.exe -u c:\windows\system\regwizc.dll
3. Pinche en Aceptar. Una ventana con un mensaje como este deberá aparecer:
RegSvr32
DllUnregisterServer in c:\windows\system\regwizc.dll succeeded.
[ Aceptar ]
Solo le queda pinchar en Aceptar y el cambio se habrá hecho satisfactoriamente.
Si por algún motivo deseara volver a activar el módulo REGWIZC.DLL, repita los pasos 1 y 2, pero pegando en la ventana
"Abrir:" la siguiente línea, en lugar de la anterior:
regsvr32.exe -c c:\windows\system\regwizc.dll
Esto ha sido probado en Windows 98, Me y 2000. También debería funcionar en Windows XP, aunque no ha sido testeado al tiempo de escribir este artículo.
En todos estos casos, deben modificarse las ubicaciones de los archivos correspondientes a cada sistema (los ejemplos anteriores funciona en una instalación por defecto de Windows 98 y Me), por ejemplo, en Windows
2000 sería:
regsvr32.exe -u c:\winNT\system32\regwizc.dll
regsvr32.exe -c c:\winNT\system32\regwizc.dll
Referencias:
VSantivirus No. 192 - 16/ene/01
Protegerse de modificaciones remotas del registro
http://www.vsantivirus.com/16-01-01.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|