miércoles, 17 de octubre de 2012

WinLockLess añade protección "antipharming" en su versión 0.3

WinLockLess, a pesar de ser tremendamente sencilla, ha tenido un éxito inesperado si nos atenemos al número de descargas (contabilizamos unas 75.000 entre los diferentes puntos de distribución desde abril, aunque el uso real puede rondar en los 40.000 usuarios). Es por esta razón que hemos decidido actualizarla para añadirle una función extra que puede resultar de utilidad.

WinLockLess era una simple ayuda para llevar a cabo una medida de seguridad que considero elemental: modificar los permisos de ciertas ramas del registro en las que se puede añadir malware durante el arranque. Así, se evitan en lo posible los bloqueos (tipo virus de la policía) y la perpetuación de otras infecciones. Aunque se han escrito artículos que no han captado la absoluta simplicidad de la herramienta (se ha dicho desde que es un antivirus hasta que monitoriza el sistema), son muchos usuarios los que la han descargado. Y, por el escasísimo nivel de incidencias, parece que ha sido útil.

El pharming es una técnica que consiste en modificar el archivo hosts del sistema para que un dominio (normalmente un banco o un sistema de actualización) apunte a otra IP. En esa IP de otro servidor se aloja una copia de la web del banco, o bien nada (para bloquear la actualización). Este sistema, que comenzó a popularizarse en forma de malware hace muchos años, sigue impresionantemente vigente.

¿Cómo protegerse?

Existen herramientas que monitorizan el fichero buscando cambios no deseados (al igual que las que monitorizan las ramas del registro), pero la filosofía de WinLockLess es un poco más "radical". El archivo hosts es un archivo que un usuario medio rara vez deberá modificar. Por tanto, no es descabellado bloquearlo con los permisos. Esta es la función que se ha añadido a WinLockLess. Ahora añade una casilla para proteger el archivo hosts del sistema, impidiendo que el grupo "Todos" escriba en él gracias a los permisos NTFS. A no ser que el malware (ya como administrador) modifique los permisos antes de escribir en él (cosa que aún no hemos visto), no podrá realizar la escritura en el archivo.

 
Dada la difusión del malware de este tipo (sobre todo en México y Sudamérica) creemos que puede resultar útil. Puesto que WinLockLess se encuentra muy distribuido y cuenta con un sistema de comprobación de nuevas versiones, a todos los usuarios que lo lancen a partir de ahora se les ofrecerá la opción de su actualización.

Puede ser descargado desde http://hispasec.com/resources/soft/winlockless.exe

Más información:

Hispasec presenta WinLockLess: Herramienta para prevenir el arranque de programas en el inicio de Windows (y su potencial bloqueo)


Sergio de los Santos
Twitter: @ssantosv


8 comentarios:

  1. ¡Mano de Santo! GRACIAS.

    ResponderEliminar
  2. ¡Gracias mil!
    Es muy útil. Aunque, en los tiempos que corren, estas actualizaciones sería bueno que fueran del estilo "actualízate sí o sí" de Chrome. No veo que sea un cambio muy agresivo para el sistema más bien una estupenda mejora de "obligada" aplicación.

    ResponderEliminar
  3. en verdad mil gracias por tal util herramienta que desde que la conosco me ha ahorrado muchos dolores de cabeza,sigan asi esperemos muchas mas opciones de proteccion
    saludos

    ResponderEliminar
  4. Gracias por compartir.
    Muchos saludos

    PD:La versión que se descarga es la v0.2, al iniciarse me indica que existe una nueva versión la v0.3 pero al descargarla sigue siendo la versión v0.2.
    [v0.2] hispasec.com/winlockless/winlockless.exe
    [v0.3 que es v0.2] hispasec.com/resources/soft/winlockless.exe

    ResponderEliminar
  5. No me deja descargar el WinLockLess, me pide version .net framework V4 y no se como conseguirla
    gracias y saludos

    ResponderEliminar
  6. La versión es la 0.2 y no la 0.3, que paso con la versión 0.3? hace unas semanas pude descargarlo con normalidad.

    ResponderEliminar
  7. una consulta La versión 0.2 me bloquea la carpeta de inicio y la 0.3 no, igualmente al lanzar a inicio (usuario actual) es peligroso esto?

    ResponderEliminar