Rata Blanca 16/10/09

Rata Blanca - El último ataque


Fui a ver a la gran Rata el viernes pasado, por cuarta vez en mi vida (Monsters of Rock con Judas, fecha en el microestadio de Racing y una vuelta que tocaron gratis en parque Chacabuco). Fui sin demasiadas ganas ya que no vengo escuchando mucho de su música últimamente y el último disco lo escuche un par de veces y no me gustó nada de nada.

Sin embargo hice muy bien en ir igual porque a decir verdad me llevé una muy grata sorpresa! La banda estuvo increible, con un sonido digno de una banda internacional de las grandes. De hecho tocaron en el Luna Park, donde el año pasado vi a Judas Priest y a Megadeth, y no tienen nada que envidiarles... lo malo de todo ésto es que el precio también estaba a la altura de una banda internacional. 90 pesitos salió la entrada, que a mi criterio se justifica con el despliegue de cámaras, pirotecnia y sonido que hubo, pero más de uno opinó que se fueron al joraca.

Ya que digo pirotecnia, comento que mecharon en algunos temas llamaradas del frente del escenario y al fondo cerca de la batería. No estoy para nada de acuerdo con éstas cosas ya que me resultan un peligro... como bien entendió Giardino quién casi se caga prendiendo fuego al final del show.

Más allá del precio y del percance de último momento (no parecía haberse lastimado mucho, más que nada parecía dolerle el orgullo...) fue un espectáculo impecable por donde se lo mire, del cual vale destacar su duración: 3 horas y cuarto no es algo que logre cualquier banda. Si señores, más de tres horas de show sin descanso más allá de los interminables solos de guitarra... que ésta vez y para sorpresa de varios vinieron acompañados de un solo de teclado (grande Bistolfi!) y uno de batería, bastante largos ambos. El solo de bajo del Negro Sánchez todavía nos lo deben... afortunadamente :P.

El set list incluyó casi la totalidad del útimo disco, "El Reino Olvidado" cosa que, aunque esperada, no fue de mi agrado. De todas formas con tres horas de recital pasó bastante desapercibido y dejó lugar a clásicos como Chico Callejero, La canción del guerrero, Lluvia púrpura, Solo para amarte y otros tantos que hicieron las delicias de los seguidores más viejos. Extrañamente no hubo ningún tema de "La llave de la puerta secreta" y solo dos de "El camino del fuego" generando un bache medio extraño entre los inicios de la banda y el último disco.

En resumen, una banda que dan ganas de ir a ver, que brindan shows de altísima calidad y cuyo público se presta para el buen pogo, pero con el compañerismo típico del género.

Feels like Evangelion

Hoy cuando estaba saliendo de casa vi en la tele éste video de una "nube con forma rara" sobre Rusia:



Al verlo no pude más que recordar la siguiente imagen:



Así que bueno, ese ángel si mal no recuerdo lo reventaba Rei autodestruyendo el Eva-00 con una bomba N-2... si tipo 6 de la tarde se vaporiza medio Rusia, yo avisé.

Dospuntocerizándome


Steve Vai - All about Eve (live in Minneapolis)




Bienvenidos sean.

Los que me leen desde Facebook no van a entender un pito, entren por http://www.delamentealmonitor.blogspot.com que es otra cosa, señores, otra cosa.

Nuevas aguas barren el moho de De la Mente al Monitor! Aprovechando consejos de algún que otro blogger amigo decidí hacer un importante lavado de cara al blog y cambiarle el template feo que traía (uno de los que ofrece Blogspot por default y es de esos bien pedorros) por éste con el que, he de confesar, fue cosa de amor a primera vista.

Sumado al cambio de pinta decidí sumarle un blogroll y alguna que otra gilada más... conforme vaya pasando el tiempo veré de estudiar el código y ver qué puedo modificar... pero está bastante lindo así :D

Lo que todavía no agregué fueron lectores, pero ya van a ir llegando en la medida en que cambie la temática nnnnneeeeeerrrddddd que viene abundando los últimos posts y empiece a escribir con más frecuencia. Pero bueno, es más fácil conseguir un template que un puñado de lectores...

Para difundir un poquito, opté por levantar el feed del blog por Facebook y que se publiquen como "notas"... lo cual es una poronga pero es una manera bastante disimulada de spammear que casi casi no se nota. Paso el dato para los que detestan enterarse de qué garompa le salió en la galleta de la fortuna a la tía Greta que no ven hace diez años: se viene Facebook Lite! Googleen un poco y gocen, muchachos, gocen.

Loco es que incluso con el vacío de gente que es éste blog, tengo lectores muditos! como el amigo Neo83666 que pasa y no saluda. A ver si nos cruzamos rompiendo algún hueso en un lindo recital de heavy, y llevamos lo que queda de nuestras abolladas anatomías a beber ese nectar espumoso que llamamos cerveza...

Y cierro el presente update sin sentido comentando dos proyectos que tengo boyando por ahí... primero un blog de corte bien bien humorístico de la mano de una de las personas más trastornadas con las que la vida me cruzó, y mierda que me cruzó de chiquito... estoy hablando de mi hermano. Los que lo conocen saben que el pibe lima peor que Casero después del quinto faso, y los que no, ya tendrán el gusto. Próximamente gran fiesta gratuita de inauguración con barra libre, los muchachos de Megadeth como músicos invitados (solo que van a tocar folklore porque si tocan sus temas me cobran más caro) y trolas a disposición de los invitados!

Estaría buenísimo, no? pero no, no se puede. Qué se le va a hacer.

El otro proyecto es una movida pseudo periodística y multimedial con el amigo Claudito, pero por cuestiones de escaso tiempo y elevada paja mental de quien escribe viene con cierto delay. Clau, si leés ésto, no me cagues a piñas... ya te voy a dar bola. No eres tu, soy yo. A la (no tanta) brevedad habrá noticias y es un proyecto muy muy interesante!

Me despido hasta otra ocasión, salud!

Mariposa Technicolor? Nah!

Buenas y santas para todos ustedes.

Una vez más escribo sobre informática en éste blog demostrando que mi vida, pese a que me está dando muy gratos momentos, no tiene mucha onda que digamos desde el punto de vista periodístico.

La sorpresa ésta vez me la encontré en el trabajo cuando me encontré el siguiente correo de mi ISP:


--------------------------------------------
Estimado Cliente,

Me pongo en contacto con usted a fin informarle que hemos recibido información de que su IP pública ***.***.***.*** posiblemente se encuentre infectada por el botnet "mariposa/butterfly".

Un estudio de su comportamiento (de una de las versiones capturadas) indica que se realiza un alto volumen de consultas DNS por dominios que contienen "Butterfly" o "bf", y conexiones masivas UDP hacia las siguientes direcciones IP:

96.9.170.133
62.128.52.191
87.106.179.75
82.165.205.104
212.48.121.23
66.96.201.74

Asimismo algunos de los puertos destinos UDP utilizados para la comunicación con el son: 5907 1111 2222 3333 4444 5555 1234 7007 7008

Puede obtener mas información del mismos tras acceder al vinculo http://defintel.blogspot.com/2009/09/half-of-fortune-100-companies.html

Le solicitamos que por favor se verifique la red interna, y que nos confirme la regularización de la misma para proceder a cerrar la gestión citada en el asunto del correo.

Ante cualquier inquietud no dude en contactarnos por esta misma vía o a nuestro centro de atención al cliente.

Lo saluda cordialmente,

PEPITA SOPORTE
CENTRO DE ATENCIÓN TÉCNICA

----------------------------------------------


Lo primero que hice al encontrarme con ésta joyita fue llamar a dicho centro preguntando por Pepita Soporte (cuya verdadera identidad, podrán deducir, oculté estratégicamente) quien me informaron trabaja en el comodísimo horario de 18 a 24. Viendo que no podía hablar con la autora del mail lo puse al tanto a mi interlocutor sobre la situación y le pregunté si me podía dar algo de información sobre el malware en cuestión.

Mi decepción fue grande al descubrir que ni el flaquito que me atendió ni ninguno de sus compañeros tenía idea de qué cuernos le estaba hablando. Y más grande aún fue mi sorpresa cuando al preguntar por una solución me dijeron "y mirá, no se cómo lo vas a sacar pero hacelo rápido o te vamos a cortar el servicio por no cumplir los términos". Fenómeno.

Mi segunda reacción fue ir a ver el link que mi proveedor me facilitó para informarme. Resumiendo, lo que dice esa entrada de blog es que Mariposa/Butterfly es una red de computadoras infectadas por varias clases de malware, cuyo propósito es desconocido. Se supone que roba claves bancarias y contraseñas alojadas en los browsers aparte de, posiblemente, realizar ataques DDoS... y pone especial énfasis en el dato de que 50 de las 100 empresas más grandes del mundo están infectadas y son parte de la red maliciosa. Además de postear algunos datos de la actividad de la botnet, aclararon que es una amenaza nueva y áún se desconoce cómo detectar y neutralizar los binarios. Busqué en los sitios de los desarrolladores de aplicaciones antivirus y antimalware más reconocidos, así como en los foros de seguridad clásicos, y no encontré nada de nada.

Al final del link que me pasó mi ISP encontré un e-mail para consultas de los autores de dicho blog, a la cual opté por enviar lo que transcribo a continuación:


----------------------------------------
Hello, I’ve received an e-mail from my ISP telling about the detection of Mariposa/Butterfly on my network. They also told me that in case I can’t disinfect my computers they’ll cut out the service until I have it solved.

The e-mail linked to the blog http://defintel.blogspot.com/ for information, and that’s how I reached your address.

I’ve been doing some research on the topic and I couldn’t find anything about the botnet on the main security product vendors (call it Symantec, McAfee, and so on), nor my own contacts did know anything about it.

Is there anything you can do to help me eradicate this infection? The clock is ticking and I cannot allow the ISP to stop giving me service.

Thanks in advance for your help.

-----------------------------------------


Era una botella al mar, pero no me costaba nada probar. Para mi sorpresa, a los escasos minutos me contestó el mismísimo CEO de Defence Intelligence, Christopher Davis (quien me autorizó a postear todo ésto) diciendo lo siguiente:


-----------------------------------------
Hello

Does ***.***.***.***
(((mi IP externa))) belong to your network?

If so then you do indeed have more than one computer inside your
network that are part of the mariposa botnet.

Check your firewall logs for out going connection attempts to the
following IP -200.74.244.84

Any computer inside your network that is attempting to connect to that
IP is compromised. You will need to wipe it clean and reinstall its
operating system.

Please let me know if we can be of any further assistance.

----------------------------------------


A lo que respondí lo siguiente:


----------------------------------------
Mr.Davis:

That IP is indeed my external IP address.

I checked my firewall with Ntop (don't have access to the logs right now) and couldn't find a single reference to the IP 200.74.244.84 or the hostname butterfly.sinip.es . Any other clue I should search for in order to find the guilty computer on my network?

By the way, what's wrong with 200.74.244.84? it looks like a normal Win2K3 server to me. Are the bots coming from there?

One last question. Is there any removal tool for this malware? I couldn't find anything by the name Mariposa or Butterfly, maybe the software vendors identify it with other names...

I really appreciate your help.

----------------------------------------


A ese correo me respondió Matt Sully, Threat Research and Analysis Director de DefIntel:


----------------------------------------
Hey guys,

Chris asked me to get some more info to you. We are investigating this
bot actively and have seen it receive several updates. This
unfortunately has resulted in a fluctuation of the IPs the malware is
contacting as well as the ports it is using. The initial contact still
seems to be one of the butterfly domains using UDP on port 5906, 5907
or 5908, but then new contacts go out to fluxing IPs.
At this point I would look for multiple outgoing UDP connections from
any given machine. The IPs may change but you should still be able to
track down the culprit if it keeps sending UDP.
If you're looking for a remediation or AV solution, some of the
variants are being called Palevo or an autorun worm (that one is
pretty generic but that's unfortunately what they're using).
We are working on a more comprehensive analysis and will release this
to the public in a day or two. Please check back to our site at
defintel.com.

----------------------------------------


Bueno, recapitulemos un poco que ya los debo haber mareado con tanto cruce de mails... Un buen resumen sería que mi ISP me está amenazando con un corte de servicio si no desinfecto mi red. Peeero resulta que mi red está infectada con "algo" que ni la misma gente que lo descubrió sabe bien qué es ni cómo se mata, y plantean como -posible- solución la reinstalación de todos los equipos infectados (que nadie me garantizaba que no se volvieran a infectar). Vale aclarar que mi empresa es del tipo de empresas a las que si les cortas Internet, no funcionan, no facturan, no existen, no nada.

Mientras pensaba qué hacer, DefIntel publicó éste artículo en su blog, remarcando aún más que no hay una forma clara de deshacerse de la infección. Con toda ésta evidencia les escribí a mis amigos del ISP tratando de hacerles entender que si me cortaban el servicio los iba a meter a todos presos:


----------------------------------------
Estimados:

Hemos recibido el comunicado de la gestión y leído el informe de http://defintel.blogspot.com. Luego de leer la (casi nula) documentación hallada en la web sobre Mariposa/Butterfly y no encontrar información disponible en ninguno de los grandes proveedores de software de seguridad ni en los más reconocidos foros antimalware optamos por ponernos en contacto con los autores del informe, es decir, la firma canadiense Defense Intelligence.

Muy amablemente el CEO de DefIntel nos informó de la situación y nos dio la mala noticia de que prácticamente no existe data de la amenaza en cuestión ya que fue descubierta muy recientemente y, como es obvio, aún no tiene forma de remoción ni parche. Nos puso al corriente, además, de que en los próximos días publicarán un boletín de seguridad con información actualizadas al respecto.

Entendemos que carecería de fundamentos lógicos un corte de servicio por parte de USTEDES tratándose de una amenaza para la cual no existe, al momento de redactar éste correo, forma alguna de removerla.

A la espera del comunicado de seguridad por parte de Defense Intelligence (o cualquier firma que ponga a disposición una herramienta de eliminación fiable), desde MI EMPRESA nos comprometemos a revisar nuestros equipos en busca de alguna solución y a endurecer las políticas de nuestro firewall a riesgo incluso de perder funcionalidades.

Copio a continuación los mensajes relacionados a ésta cuestión, desde el originario de Pepita Soporte hasta la última respuesta de DefIntel.
(((Tranquilos, no los voy a copiar acá)))

Esperamos puedan comprender nuestra situación.
-----------------------------------------


La respuesta de mi ISP a todo ésto fue tan cortita que ni vale la pena que la copie, pero me dijeron que verifique y regularice la situación lo antes posible, dándome a entender no solo que la amenaza sigue en pie sino que todo lo que les dije les importó una mierda... hablando mal y pronto (como dicen las viejas).

Más o menos para el último viernes DefIntel publicó éste otro artículo que clarificó un poco más las cosas. Para ésta altura (además de coordinar con mi jefe para que cerrara las conexiones salientes UDP y mandar un mail a todo el personal pidiendo que no hagan home banking, que si no queda otra usen el teclado en pantalla y que apaguen las PCs cuando se retiran) me puse a buscar una manera de erradicar el malware y luego de rastrear un buen rato y probar con varios productos recién ayer (Lunes 05/10) encontré alguna noticia interesante...

Symantec publicó un artículo donde agrupan, si no entendí mal, todas las variantes actuales bajo el nombre de W32.Pilleuz y la agregar a las definiciones de todos sus productos. No lo pude probar todavía porque no tengo instalado ninguno de sus productos (ni lo voy a hacer sin sus licencias) y porque todavía no pude identificar del todo los equipos infectados, pero me gustaría que alguien con productos de la familia Norton o Endpoint pudiera determinar si son efectivas, por lo menos con las variantes actuales.

Por el momento mi proveedor no apareció más y los retoques en el firewall por parte de mi jefe parecen haber frenado la difusión del malware. Sigo con la empresa medio en "estado de sitio" y a la espera de una manera coherente de limpiar los equipos.

Seguiré posteando actualizaciones conforme avance en algún punto o encuentre más data. Por lo pronto los muchachos de Defence Intelligence me avisaron que hoy o mañana estarían liberando más información, así que hay que estar atentos.

Si mi amado ISP me corta el servicio lo voy a publicar también, obvio.

Saludos para todos, si alguien tiene data comente!

Y que pasa si no uso Taringa?


**NOTA: Si estás leyendo ésto por Facebook, te recomiendo que lo leas directamente desde mi blog!**


Hace unos días que vengo pensando en la manera en que Taringa cambió la forma de descargar cosas en Argentina y países aledaños, bajando muchísimo el nivel del P2P y la actividad en foros del rubro. Eso, como siempre, tiene un lado bueno porque queda todo centralizado y al alcance de la masa de usuarios "no técnicos" -que al día de hoy son mayoría- y uno malo, el miedo a una desaparición limpia, temprana y sin aviso del afamado site.


Ahora, mi pregunta es: Tanto más cómodo y fácil de usar es Taringa al lado de las redes Peer to Peer? Por qué la gente se alejó de los métodos tradicionales de descarga?


Los usuarios siempre renegaron de lo complejo de configurar que era eMule para hacerlo bajar decentemente y conseguir un archivo servers.met confiable, o les resultaba complicado el esquema de los Torrents con sus Peers, Seeds, Trackers y demás yerbas. Ni hablar de que haya que usar el browser para encontrar los archivos .ed2k o .torrent, cosas directamente imposibles para la mayoría de la gente. Pero la verdad que en mi propia experiencia bajar cosas de Taringa no es nada tan maravillosamente sencillo para el común de la gente. Primero que nada porque no es “de Taringa” de donde sacamos nuestros archivos sino que por lo general es de servidores de archivos como RapidShare, MegaUpload, MediaFire, Badongo y tantos otros que brotan de abajo de las baldosas todos los días… esto implica tener que lidiar con esperas, códigos visuales de confirmación, archivos comprimidos partidos en muchas partes (cerca de 100 para archivos grandes!) o programas como JDownloader para encolar las descargas… Y personalmente aunque no encontré fakes como en el P2P (es decir, bajar algo que dice ser la discografía de Almafuerte y resulta ser un video de Blanca Curi bailando “el meneadito” con un plumero en el orto) si encontré cualquier cantidad de links rotos! A veces tengo que recorrer dos páginas de resultados de búsqueda hasta encontrar uno al que le funquen los links, lo cual me da por el quinto forro. Y mejor no menciono las veces que el que está roto es el link de la parte 35 de un archivo grande…


La verdad es que no hay una red mejor o peor. Cada una tiene sus problemas, aunque el mayor problema de Taringa (en realidad no es de taringa sino de los servidores de los que hablaba hace un rato) podríamos decir que se solucionó con el famoso JDownloader que encola las descargas y pasa el “capcha” el solito. BitTorrent y eMule -mi red favorita- son software libre, y el software libre por más maravilloso que sea siempre se caracterizó por no ser demasiado "user-friendly", abarcando una gama de gente que va desde el técnico hasta el nerd consumado, pero dejando afuera al resto. Ahora, por qué los clientes de éstas dos redes son jodidos de configurar y bajan mal?


A mi criterio, EL tema que complica a las redes P2P son los ISPs (proveedores de servicio de internet) que limitan el tráfico de éste tipo de aplicaciones por usar puertos y protocolos no estándar, lo cual es una reverenda mierda. Taringa (y los foros y los blogs de descargas y todo eso) zafan de ésta movida porque las transferencias se realizan por HTTP y FTP, por lo que si limitan eso tendrían que limitar la navegación y TODAS las descargas directas... y se los comen los usuarios, ya que la enorme mayoría lo primero que piensa cunado le dicen “Internet” es en navegación y correo electrónico. Yo creo que si las descargas de las dos modalidades estuvieran en igualdad de condiciones frete al proveedor, el usuario común tendría que configurar menos cosas y saltar menos barreras, por lo que se inclinaría por eMule.

No corresponde bajo ningún punto de vista que limiten el tráfico y cierren todos los puertos que no sean los usados por todos (25 para SMTP, 21 para FTP, 80 para HTTP, 443 para HTTPS, 110 para POP3 y poco más) para su conveniencia. No es mi responsabilidad que por la negligencia de vender más conexiones de las que pueden mantener no me dejen usar mi ancho de banda para lo que a mi se me canta el culo, que bastante caro lo pago, apoyándose en que la mayoría de los usuarios no sienten el cambio que generan esas limitaciones. Yo pago por una conexión a Internet, no por navegar y usar el correo.


En definitiva lo que causó el triunfo de Taringa en las masas de usuarios fueron los ISPs, eligiendo indirectamente lo que se puede hacer y lo que no! Es una estafa y una violación a mis derechos como consumidor! Es el equivalente a alquilar un cuarto en un hotel y que la cama se de vuelta cada cuatro horas, porque ellos consideran que eso es lo que tengo que dormir. Yo pago por ese cuarto hasta el mediodía, debería poder dormir hasta el mediodía si se me antoja! O no dormir!


Ojo que no es una crítica a Taringa, que lo uso muy seguido y me parece una excelente idea… lo único criticable es la comunidad que tiene adentro, que lejos de ser como en un foro es más parecido a una partida de Counter-Strike llena de gente bardeando y diciendo pelotudeces. La crítica acá es hacia los Proveedores de Servicio de Internet que eligen por la gente lo que se puede hacer y lo que no.


Existen cosas igual de piolas -como mínimo- que Taringa, pero sufren de tantas trabas innecesarias que el resultado final que llega al usuario es una cagada, que para usarla hay que ser un Ingeniero de la NASA.


Espero que algún día a fuerza de denuncias en Defensa del Consumidor se solucione ésta cuestión, antes de que empeore el abuso y las limitaciones hasta hacer de la red de redes algo totalmente inusable.

Ska-P - Eres un@ más

Cortando con la racha de texto nerd, un poquito de música. Hoy los convido con éste tema que me hace correr un escalofrío cada vez que lo escucho por lo acertado que está en todo lo que dice... se siente especialmente en cada recibo de sueldo, cada vez que voy a votar, cada vez que veo que discriminan una mina en el ambiente laboral... Sin más, los dejo disfrutar. Gracias a los que leen.

Ska-P - Eres un@ más



Al nacer ya eres parte de esta sociedad, bienvenido chaval,
clasificadle en un nuevo carnet de identidad, ya eres uno más, ya eres uno más
ingresarás en una escuela por tu educación, te vamos a preparar
a cometer los errores que cometo yo, te vamos a integrar, ya eres uno más

Eh!! ya eres uno más...

Crecerás manipulado por la religión, violando tu libertad
trabajarás pa un empresario en plena sumisión, ya eres uno más, ya eres uno más
aunque no quieras, tus impuestos te van a quitar, pa financiar el estao
un estado que protege a los que tienen más, no puedes opinar, ya eres uno más

Eh!!, ya eres uno más, eh!!
no soy uno más asocial, uno más

Pasa la vida y todo sigue igual
encadenados a un hedor social
y aunque no quieras eres uno más
pasa la vida y todo sigue igual

Pasa la vida, hermano, yo no quiero ser un ciudadano
pasa la vida, hermano, esquizofrenia en colectividad...

Te han inyectado la doctrina del capital desde que eras un chaval
anteponiendo el dinero a tu libertad, ya eres uno más, ya eres uno más
dejarás que el mundo muera a tu alrededor y al rico obedecerás
si eres mujer lo tienes todavía peor, más desigualdad, ya eres una más

Eh!! ya eres una más
Eh!! no eres una más asocial, una más

Pasa la vida y todo sigue igual
encadenados a un hedor social
y aunque no quieras eres uno más
pasa la vida y todo sigue igual

No quiero ser el socio de un banquero, no quiero ser el socio de la policía
no quiero ser el socio del clero, no quiero ser el socio de tus jerarquías
compañero, voy a vomitar, somos socios del gremio militar
fuera de aquí, no quiero colaborar con esta mierda de sociedad.

Software - Antivirus Gratuitos

Yngwie Malmsteen - Far beyond the sun



Buen día muchachada, hoy les traigo como anuncié la lista más completa que
pude hacer de antivirus gratuitos (solo los que cuentan con protección
residente, obvio). La verdad que probé muy pocos, escuché hablar de
muchos, y otros no se ni de donde salieron... si alguno tuvo experiencias,
por favor comparta. Yo personalmente estoy usando Avast porque lo veo
funcionar bastante bien en los clientes de la empresa donde laburo... Lo único malo que tiene es una tasa un poco
alta de falsos positivos, pero todo no se puede en ésta vida, no?

Ah, antes de la lista, me olvidaba de hacer la pregunta fundamental: Por
qué un antivirus gratuito y no uno pirateado? Simplemente porque me parece
poco prudente que la aplicación que protege todo tu equipo haya sido
violentada por un cracker e infiltrada con vaya uno a saber qué código. Se
imaginan que ese Norton trucho que tan bien les anda y les dice "System
State: Excelent" cada vez que encienden la PC, detrás de la interfaz
gráfica sea un troyano gigante que baja malware por los cuatro costados?
Yo por lo menos prefiero no correr ese riesgo ^_^'.

Bueno, ahora si, vamos con la lista...


Avast! Home Edition

(pide un registro para activar un año de uso, pero luego de ese año se
pueden registrar de nuevo todas las veces que quieran)
http://files.avast.com/iavs4pro/setupesp.exe

Grisoft AVG Free
http://dw.com.com/redir?edId=3&siteId=4&oId=3000-2239_4-10320142&ontId=2239_4&spi=1b4894390421ee66dee9141cb6f3d502&lop=link&tag=tdw_dltext<ype=dl_dlnow&pid=11016903&mfgId=10044820&merId=10044820&pguid=qd@6PwoPjF4AAG9Kc14AAACr&destUrl=http%3A%2F%2Fdownload.cnet.com%2F3001-2239_4-10320142.html%3Fspi%3D1b4894390421ee66dee9141cb6f3d502%26part%3Ddl-10044820

Avira Antivir Personal
http://dw.com.com/redir?edId=3&siteId=4&oId=3000-2239_4-10322935&ontId=2239_4&spi=0c90fccd9ee3b80dad588422d218e40f&lop=link&tag=tdw_dltext<ype=dl_dlnow&pid=11012914&mfgId=6290072&merId=6290072&pguid=lQP4@AoPjF4AAG9KQU0AAACL&destUrl=http%3A%2F%2Fdownload.cnet.com%2F3001-2239_4-10322935.html%3Fspi%3D0c90fccd9ee3b80dad588422d218e40f%26part%3Ddl-10322935

DriveSentry

http://www.drivesentry.com/AntiVirus-download-free-Firewall-products-for-computers.html#

Comodo AntiVirus

http://download.comodo.com/cis/download/setups/CIS_Setup_3.8.65951.477_XP_Vista_x32.exe

Otros bastante conocidos son ClamAV y BitDefender funcionan como OnAccess
solo si corren con un programa open source llamado WinPooch, pero está
teniendo muchos problemas con XP SP3, por lo que no los incluyo. Si alguno
quiere probar, googlee. Si alguno probó, me cuenta.

Eso fue todo lo que encontré, se aceptan sugerencias.

Fuentes: Wikipedia y los websites de las empresas desarrolladoras.

Saludos y buen domingo!

Virus - Conficker

Liquid Tension Experiment - Kindred spirits



Gente, viendo que ayer tuve que ir a pelearme con unos cuantos equipos infectados con Conficker/Downadup en un cliente de la empresa donde laburo, me parece una buena oportunidad para repasar un poco la metodología para frenar un ataque de éste virus. Aclaro que todas las herramientas que menciono son gratuitas, para no tener que andar bajando cracks y esas porquerías. Empecemos por informarnos un poquito sobre cómo funciona.

Ésto dijo Symantec
http://www.symantec.com/security_response/writeup.jsp?docid=2008-112203-2408-99&tabid=2

Ésto dijo McAfee
http://vil.nai.com/vil/content/v_153464.htm


Como verán, el virus se aprovecha de una vulnerabilidad de windows en lo referente al servicio de RPC, lo cual se soluciona aplicando un hotfix. Pero primero hay que sacar la infección! Para eso contamos con diversas herramientas específicas de distintos fabricantes, en mi orden de preferencia (supongo que no hace falta que aclare que todas se pasan en Safe Mode sin funciones de red, no? :P):

Symantec Downadup Removal Tool
http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixDwndp.exe

McAfee Stinger_Conficker
http://vil.nai.com/vil/conficker_stinger/Stinger_Coficker.exe

ESET (la gente del Nod32) Conficker Remover
http://www.eset-la.com/support/tools/EConfickerRemover.exe

Sophos Conficker Clean-Up Tool
http://download.softpedia.com/dl/8effa11933ce594ab1ce880956b5f765/49d7790f/100124438/software/antivirus/ssconftool_10_sfx.exe


Les paso el dato de un antivirus (full, no específico para una cepa de virus) gratuito, libre y portable, ideal para llevar en un mp3 con protección de escritura. Es medio paja de configurar pero anda muy bien. Después le tienen que buscar las definiciones en softpedia o uno de esos sitios.

Clam AV Portable
http://sourceforge.net/project/downloading.php?groupname=portableapps&filename=ClamWin_Portable_0.94.1_Rev_2.paf.exe&use_mirror=ufpr


Y, por qué no, les ofrezco también una herramienta de Kaspersky tipo el stinger con tasas de detección bastante altas. Ojo, es medio pesadito para correr, no se lo manden a una Pentium II porque plancha fiero.

Kaspersky Virus Removal Tool
http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/setup_7.0.0.290_04.04.2009_10-13.exe


Ahora que tienen el equipo libre de bicharracos se puede aplicar el parche al SO para (al menos en teoría) inmunizarlo. Éste es el boletín de seguridad de Microsoft con el link de descarga del fix para todos los sistemas operativos.

Boletín de seguridad MS08-067
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx


Eso sería todo, mañana les mando una lista con algunos buenos antivirus gratuitos y, si encuentro, los sitios para descargar las definiciones a mano que siempre vienen bien.

Saludos y buen finde para todos!

Un hotfix te cagó la vida?


Kiko Loureiro - Escaping (creo)




Si, el blog VIVE!

O eso voy a intentar... Ya ni me acuerdo cómo se usaba ésto jajaja, tengo muy asumido que nadie lo va a leer.

Lo que me empuja a escribir éste update (y a inagurar una nueva sección) es que hoy cuando prendí mi PC me encontré una hermosa blue screen con un error críptico que evitaba la carga del sistema operativo (WinXP, cuándo no...).

"Se me debe haber chingado un driver", pensé, antes de intentar levantar en safe mode o la última configuración buena conocida... Linda fue mi sorpresa al encontrarme el mismo error en esos modos de arranque también. "Santas pantallas azules, Batman!" exclamé perplejo. Acá les dejo el error, tan bonito el, para que lo reconozcan si les ocurre... aunque viene en un par de formas adicionales también, ésta fue la que a mi personalmente me tocó en gracia.

STOP: C000021A {error grave del sistema}
El proceso del sistema Session Manager Initialization terminó inesperadamente con un estado 0xC000026C (0x00000000 0x00000000)
Se ha apagado el sistema


Haciéndola corta y traduciéndolo al criollo, lo que ocurrió fue que una actualización de Windows decidió instalarse mal y me reventó algunas de las DLLs en las que se apoya Winlogon.exe (proceso fundamental del SO) para iniciarse y me cagó bien cagada la vida.

La solución que encontré yo (porque Microsoft recomienda analizar un memory dump con Dr.Watson y hacer no se que fumadez incoherente) fue bootear con el CD de instalación de Windows XP en el modo "Consola de Recuperación" -a la que se accede tocando la R en la primera pantalla-, loguearme con la pass de administrador local (no, nop uede ser cualquier miembro del grupo Administradores sinó el usuario que lleva por nombre Administrador) y, primero que nada, listar los updates disponibles para desinstalar haciendo:

DIR $*


Eso va a escupir un listado de las carpetas de desinstalación de los updates (que por defecto y si las ven dentro del sistema operativo están ocultas, protegidas como archivo de sistema y generalmente con compresión NTFS) que se llaman $NTUninstallKBxxxxxx$ donde xxxxxx es el número del update en cuestión en la Microsoft Knowlegde Base. Luego de eso procedí a hacer percha los últimos 15 fixes que se instalaron en el equipo. Cómo se hace eso? primero hay que pararse sobre la carpeta de desinstalación del fix que tenemos en la mira:

CD $NTUninstallKBxxxxxx$\spuninst


Y ejecutamos como .bat el archivo de nombre spuninst.txt mediante el siguiente comando:

BATCH spuninst.txt


Y listo, eso va a reventar las DLLs nuevas y va a restaurar las viejas. Luego de eso reinicié el equipo y voilá! Funcaba todo y no tuve que formatear un equipo que parecía insalvable.

Espero que ésto le sirva a alguno que se levante un domingo con ganas de estudiar y se desayune con ésta joda!