Lo ue pusieron aqui se me hace muy interesante, sin embargo creo que debemos orientar a que no vuelva a suceder, cada quien podra usar el antivirus que necesite, pero a mi me funciono esto:
1. desactivo toda la autoejecicion del windows incluido el comand, y el autorun de todas las unidades posibles
2. utilice el antivir
3. intale un policia de registro de sistema: spybot
por el momento ah funcionado banatnte bien
a continuacion les pongo algo de la documentacion que baje del inter para desactivar algunas caracteristicas de windows....
**********configuracion uno
Jueves, 02 de Junio de 2005 15:00
Navega hasta la clave,
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
Y en el adiciona un nuevo valor dword, llamado "DisableCMD", puede
contener diversos valores:
0 = no configurado (deshabilitado)
1 = previene la ejecución de CMD y de script bat (archivos de procesos
por lotes)
2 = previene la ejecución de cmd, pero no de los script.
Nota: Ubicar este valor en esta rama especifica del registro inhabilitaría el uso de cmd.exe, a todo el mundo, administradores incluidos.
Para que no puedan ejecuta command.com, msdos.pif, etc, etc, tan solo tienes que restringir permisos de ejecución, (click en la pestaña de suguridad, que veras al acceder a sus propiedades) en el archivo
"ntvdm.exe", este archivo, ubicado \WINDOWS\system32, esta encargado de proporcionar compatibilidad de 16 bits, a las aplicaciones que la requieran, (command.com es una aplicación de 16 bits), al denegar
permisos de ejecución sobre los grupos de usuarios que prefieras, estos no podrán ejecutar ninguna aplicación de 16 bits, ni command.com, ni msdos.pif... ni nada, de nada.... es decir, que si tienes el Contaplus,
del grupoSP, tampoco lo podrán ejecutar, por que se ejecuta en modo de 16 bits.. pero si no tienes aplicaciones de este tipo este tip de puede ser util.
**********configuracion dos
VSantivirus No. 231 - Año 5 - Sábado 24 de febrero de 2001
Modificado 22 de abril de 2001
Algunas recomendaciones sobre los virus escritos en VBS
1 - Habilitar la opción para poder ver las extensiones verdaderas de los archivos.
Recordemos la forma en que por lo general este tipo de virus intenta ocultar su extensión. Los .VBS son ejecutables de Visual Basic Script. Al ser su extensión .TXT.VBS por ejemplo, la extensión .VBS quedará oculta por lo general, y por lo tanto aparentará ser un archivo de texto: .TXT, haciéndonos pensar tal vez en su inocencia.
Para que ello no ocurra, recomendamos DESMARCAR dicha opción, a los efectos de no caer en estas trampas, y poder ver siempre la verdadera extensión de un archivo.
Para ello, proceda así:
En Windows 95/98:
Seleccione Mi PC, Menú Ver, Opciones (u Opciones de carpetas).
En Windows Me:
Seleccione Mi PC, Menú Herramientas, Opciones de carpetas.
Luego, en la lengüeta "Ver" de esa opción, DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. También recomendamos que MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
2 - Deshabilitar el Windows Scripting Host en nuestro PC.
Como hemos mencionado, este tipo de virus es incapaz de ejecutarse si deshabilitamos las opciones de Windows Scripting Host de nuestro PC.
El Windows Scripting Host (WSH), es un interprete de Java Script y de Visual Basic Script, y puede ayudar a automatizar varias tareas dentro de Windows, pero también puede ser explotado por virus del tipo VBS. Está instalado por defecto en Windows 98 y posteriores, no así en Windows 95, donde deberá ser instalado de querer usarse.
Probablemente un usuario común no requiera de estas tareas, ya que estas posibilidades suelen ser usadas solamente por usuarios avanzados o expertos.
WSH agrega funcionalidades similares a la ejecución por lotes del MS-DOS (.BAT), pero bajo el entorno Windows, bajo línea de comandos.
Windows Scripting Host habilita la ejecución de scripts (guiones o archivos del tipo de proceso por lotes), directamente desde el escritorio de Windows o desde la línea de comandos, sin la necesidad de incluir estos scripts en un documento HTML. Los scripts pueden ser ejecutados directamente desde el escritorio haciendo clic sobre un archivo, o por medio de una consola de comandos. Además, WSH provee un host con un consumo mínimo de memoria, ideal para procesos no interactivos, tales como control de acceso, control administrativo, y cualquier otra tarea que requiera una serie de comandos para ser ejecutado. Los conocedores del DOS, encontrarán bastantes similitudes a lo que se podía hacer con un .BAT.
Windows Scripting Host requiere un máquina ActiveX de scripts instalada, tal como la que provee el Internet Explorer.
Para desactivar el Windows Scripting Host de su escritorio, proceda de alguna de las siguientes maneras:
a. En Windows 95 y 98 (Manual)
Desde el Panel de Control (Mi PC, Panel de Control), Agregar o quitar programas, Instalación de Windows, Accesorios, pinche en Detalles, y desmarque "Windows Scripting Host". Reinicie su PC.
b. En todas las versiones de Windows 95, 98, Me (Automático)
Con la excepción de algunas versiones de Windows 98, el Windows Scripting Host puede estar instalado en su computadora, pero no ser mostrado en "Quitar o agregar programas" del panel de control, como vimos en el punto (a).
Existe un programa de Symantec (Norton) que lo hace en forma automática, modificando el registro. Este programa no solo funciona en Windows Me, sino que también puede ser ejecutado en Windows 95/98/NT4 y 2000. Su nombre es NOSCRIPT.EXE (127 Kb) y puede bajarse de aquí (es gratuito).
Al ejecutarse NOSCRIPT, el mismo cambia las siguientes ramas del registro:
HKEY_CLASSES_ROOT\JSFile
HKEY_CLASSES_ROOT\VBSFile
HKEY_CLASSES_ROOT\WSHFile
HKEY_LOCAL_MACHINE\Software\CLASSES\VBSFile
HKEY_LOCAL_MACHINE\Software\CLASSES\WSHFile
HKEY_LOCAL_MACHINE\Software\CLASSES\JSFile
y las convierte en:
HKEY_CLASSES_ROOT\JSFile.SymantecDisabled
HKEY_CLASSES_ROOT\VBSFile.SymantecDisabled
HKEY_CLASSES_ROOT\WSHFile.SymantecDisabled
HKEY_LOCAL_MACHINE\Software\CLASSES\VBSFile.SymantecDisabled
HKEY_LOCAL_MACHINE\Software\CLASSES\WSHFile.SymantecDisabled
HKEY_LOCAL_MACHINE\Software\CLASSES\JSFile.SymantecDisabled
Esto impide que los archivos .JS, .VBS y .WSH se ejecuten al pinchar sobre ellos, o al ser llamados por otros programas, o que se autoejecuten de estar en determinadas carpetas de inicio.
Si ejecutamos NOSCRIPT nuevamente, el registro volverá a quedar como estaba antes. Este programa funciona en todas las versiones con Windows Scripting Host instalado.
c. En todas las versiones de Windows 95, 98, Me (Manual)
En todas las versiones de Windows (95, 98 y Me), el WSH también puede ser quitado eliminando un archivo ejecutable (si no desea o no puede usar alguna de las formas anteriores).
Para ello, desde Inicio, Buscar, Archivos o carpetas, busque en la unidad C: (Buscar en: C:\ o Buscar en: Discos duros locales), el archivo WSCRIPT.EXE.
Si lo encuentra, pulse sobre él con el botón derecho y seleccione "Cambiar nombre". Modifíquelo por ejemplo, como WSCRIPT.BAK. Esto lo permitirá volver a recuperarlo fácilmente si lo desea (buscando WSCRIPT.BAK y renombrándolo como WSCRIPT.EXE).
Nota: En algunas versiones, este archivo puede aparecer en dos lugares diferentes, renombre los dos.
Tenga en cuenta que cuando requiera abrir un archivo .VBS (o .WSH, .JSE, .VBE, .WSF o .JS), Windows mostrará un mensaje de error, ignórelo.
Ver también:
12/feb/01 - San Valentín y los virus. Consejos para todo el año
18/dic/00 - El correo electrónico, el formato HTML, la música y los virus
17/dic/00 - Cinco dudas sobre el correo electrónico y los virus
02/dic/00 - ¿Extensiones de Archivo? ¿Y eso qué es?
26/nov/00 - Pautas generales para mantenerse alejado de los virus
10/nov/00 - La primera línea de defensa contra los virus: USTED
07/may/00 - Especial sobre el LoveLetter
01/nov/99 - Cómo puedo protegerme de los virus de HTML
***************configuracion 3
gpedit.msc desahibilitar el autorun en configuracion de maquina
y en configuracion de usuario se desahabilito el command.
****************configuracion 4
la adicion en el registro del sistema el archivito que encoontrramos noscript.exe
************cponfiguracion 5
desactivar la ejecucion del dobe cik en unidades archivos .inf.
****mas sobre el autorun....*************
Configurar en modo de sólo lectura dispositivos de almacenamiento USB
Solo para sistemas Windows XP con Service Pack 2.
¿Que hace el control de dispositivos de almacenamiento de bloques?
Esta característica ofrece la capacidad de establecer una clave en el registro que puede evitar la escritura en dispositivos de almacenamiento conectados al bus USB, tales como lápices de memoria. Cuando se activa esta clave del registro, los dispositivos funcionan en modo de sólo lectura.
Puedes implementar esta onfiguración como parte de una estrategia de seguridad para evitar que los usuarios transporten datos utilizando estos dispositivos siempre que desactives la edición del registro.
¿Para qué es útil esta característica?
Para evitar que se escriban datos (incluso se alteren fechas de acceso) en dispositivos de almacenamiento conectados al bus USB.
Profesionales que quieren implementar controles corporativos sobre el uso de dispositivos de almacenamiento de bloques en buses USB o realizar accesos a dispositivos USB en modo de sólo lectura.
¿Que configuraciones se añaden o se cambian en Windows XP Service Pack 2?
Nombre de clave Localización Valor por defecto Valores posibles
WriteProtect HKEY_LOCAL_MACHINE\System\
CurrentControlSet\Control\
StorageDevicePolicies DWORD=0 0 - Protección desactivada
1 - Protección activada
Fuente
Controlling block storage devices on USB buses
--------------------------------------------------------------------------------
Desactivar la ejecución automática (Autorun): Desactiva la ejecución automática en todas las unidades
Una entrada del registro de Windows, un valor binario con el nombre "NoDriveTypeAutoRun" permite desactivar la reproducción automática en todas las unidades (recomendado). La ejecución automática (Autorun) inicia la lectura desde una unidad del equipo tan pronto como se inserta el medio. Como consecuencia, el archivo de instalación o los programas y sonidos o los contenidos multimedia se inician inmediatamente.
Para desactivar la característica de ejecución automática en todas las unidades, puede añadirse "NoDriveTypeAutoRun" en el registro en:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\
Para desactivarla únicamente para el usuario actual utilizamos "NoDriveTypeAutoRun" en esta entrada:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\
Alternativamente, para desactivar la ejecución automática sólo de las unidades de CD/DVD, puede utilizar esta subclave del registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\
Vulnerabilidad
Un atacante con acceso físico al equipo puede insertar un CD ó DVD con ejecución automática en el equipo y automáticamente se lanzará un programa malicioso.
Para evitar la posibilidad de que un programa malicioso se ejecute cuando se inserta un medio, esta política de grupo puede desactivar la ejecución automática en todas las unidades.
Contramedidas
Configuración : (NoDriveTypeAutoRun) Desactiva la ejecución automática de todas las unidades (recomendado). Un valor de 255 desactiva la ejecución automática (Autorun) de todas las unidades.
Los valores posibles de esta clave son:
Valor Significado
0x1 Desactiva la ejecución automática en unidades de tipo desconocido.
0x4 Desactiva la ejecución automática en unidades extraibles.
0x8 Desactiva la ejecución automática en discos fijos.
0x10 Desactiva la ejecución automática en discos de red.
0x20 Desactiva la ejecución automática en unidades de CD-ROM.
0x40 Desactiva la ejecución automática en discos RAM.
0x80 Desactiva la ejecución automática en unidades de tipo desconocido.
0xFF Desactiva la ejecución automática en todo tipo de discos.
Impacto potencial
La ejecución automática (Autorun) no estará activa nunca cuando se inserten discos con la característica de ejecución automática. Además las utilidades de grabación de CD podrían no funcionar como se espera porque no reconocerán los CD vacíos. Las aplicaciones multimedia como Windows Media Player no reconocerán nuevos CDs o DVDs cuando se inserten, esto obliga a los usuarios a ejecutarlos manualmente.
Para más información véase el artículo "The AutoRun feature or the AutoPlay feature does not work when you insert a CD-ROM in the drive" en http://support.microsoft.com/default.aspx?kbid=330135 en Microsoft Knowledge Base.
Fuentes
Microsoft TechNet, Chapter 10: Additional Registry Entries
Microsoft TechNet, NoDriveTypeAutoRun
Autorun.inf nod32