WinLockLess, a pesar de ser tremendamente sencilla, ha tenido un éxito inesperado si nos atenemos al número de descargas (contabilizamos unas 75.000 entre los diferentes puntos de distribución desde abril, aunque el uso real puede rondar en los 40.000 usuarios). Es por esta razón que hemos decidido actualizarla para añadirle una función extra que puede resultar de utilidad.
WinLockLess era una simple ayuda para llevar a cabo una medida de seguridad que considero elemental: modificar los permisos de ciertas ramas del registro en las que se puede añadir malware durante el arranque. Así, se evitan en lo posible los bloqueos (tipo virus de la policía) y la perpetuación de otras infecciones. Aunque se han escrito artículos que no han captado la absoluta simplicidad de la herramienta (se ha dicho desde que es un antivirus hasta que monitoriza el sistema), son muchos usuarios los que la han descargado. Y, por el escasísimo nivel de incidencias, parece que ha sido útil.
El pharming es una técnica que consiste en modificar el archivo hosts del sistema para que un dominio (normalmente un banco o un sistema de actualización) apunte a otra IP. En esa IP de otro servidor se aloja una copia de la web del banco, o bien nada (para bloquear la actualización). Este sistema, que comenzó a popularizarse en forma de malware hace muchos años, sigue impresionantemente vigente.
¿Cómo protegerse?
Existen herramientas que monitorizan el fichero buscando cambios no deseados (al igual que las que monitorizan las ramas del registro), pero la filosofía de WinLockLess es un poco más «radical«. El archivo hosts es un archivo que un usuario medio rara vez deberá modificar. Por tanto, no es descabellado bloquearlo con los permisos. Esta es la función que se ha añadido a WinLockLess. Ahora añade una casilla para proteger el archivo hosts del sistema, impidiendo que el grupo «Todos» escriba en él gracias a los permisos NTFS. A no ser que el malware (ya como administrador) modifique los permisos antes de escribir en él (cosa que aún no hemos visto), no podrá realizar la escritura en el archivo.
Dada la difusión del malware de este tipo (sobre todo en México y Sudamérica) creemos que puede resultar útil. Puesto que WinLockLess se encuentra muy distribuido y cuenta con un sistema de comprobación de nuevas versiones, a todos los usuarios que lo lancen a partir de ahora se les ofrecerá la opción de su actualización.
Puede ser descargado desde http://hispasec.com/resources/soft/winlockless.exe
Más información:
Hispasec presenta WinLockLess: Herramienta para prevenir el arranque de programas en el inicio de Windows (y su potencial bloqueo)
Sergio de los Santos
Twitter: @ssantosv
