Mario Chilo IT Security Professional

Profesional en Ingeniería de Sistemas. Especialista en Tecnologías de la Información, Seguridad Informática y Data Recovery. Analista de virus informáticos y código malicioso. Experto en Tecnicas de Detección y Eliminación de Software Malicioso.

Recuerdo hace muchos años atras cuando llevaba mi curso de Lenguaje de Programación, en esa epoca Pascal, y lo primero que indico el profesor fue "Señores cuando su programa no compila, por favor lean los mensajes de error que se muestra en la parte inferior de la pantalla". Realmente fue un gran consejo ya que la gran mayoria de problemas se pueden resolver de forma sencilla, simplemente tenemos que prestar atencion a esos mensajes de error que nos aparecen en pantalla.

En las ultimas semanas he podido darme cuenta que muchas personas no prestan atencion a esta recomendación, y es por eso que en este post veremos algunos casos que he visto.

Hace unos dias configure una computadora en una empresa para que los usuarios ya no tenga privilegios de administrador local, obviamente es la manera correcta de trabajar; ya que esto es una politica que se deberia implementar en todas las empresas. No hay razon por la cual un usuario tenga privilegios de administrador para poder trabajar en su equipo. Al pasar un par de dias luego de haber realizados estos cambios, el personal de soporte tecnico me comunico que habian nuevamente regresado a la configuracion anterior del usuario(privilegios de administrador), porque al cargar el Microsoft Word les aparecia un error. Me parecio raro, asi es que fui a revisar la computadora, y al cargar el Word salia un mensaje de error, el cual indicaba claramente que se trataba de un error al intentar realizar la autocorreccion de un documento, y pedia el CD de instalación del Office. En este caso se pudo determinar que el Office que habia sido instalado en ese equipo, obviamente no se habia instalado en forma completa y pedia la instalación de algunos componentes que estaban faltando. Se pudo demostrar que no tenia nada que ver con la configuracion previamente hecha(restricción de privilegios). Aqui podemos sacar la conclusion que si se hubiera leido en forma detallada el mensaje de error desde el principio, se hubiera solucionado el problema.

Algo es que es muy importante es poder determinar las razones y/o causas cuando se presenta un problema tecnico, ya que al poder determinar la razon especifica de la falla, podremos prevenir que esto no vuelva a ocurrir y adicionalmente se ahorrara tiempo en nuestro trabajo diario. Imaginemos algo que es muy comun hoy en dia, cuando un Malware ingresa a una PC, un gran numero de personas prefieren formatear el equipo en vez de resolver el problema. Esto en el fondo resulta una perdida de tiempo para la gente de soporte tecnico, ya que en muchas oportunidades poder eliminar a estos bichos resulta sumamente sencillo.

Hoy por ejemplo me paso algo bastante curioso. Un amigo no podia a imprimir una hoja de prueba en su impresora. Primero al intentar imprimir una hoja de prueba, el Windows manda un mensaje que indica que si la impresion se realizo con exito o no. Obviamente si manda este mensaje de error no podemos hacer clic en el botón "Aceptar" en la ventana que aparece al momento de imprimir, ya que esto indicaria que no hubo problemas. En este caso especifico se soluciono el problema en forma un sencilla, en la ventana de "Impresoras y faxes" aparecia varias versionas de la misma impresora instalada, y estaba seleccionada una de estas impresoras por defecto. Y cuando se retiro el cable de la impresora de la PC, pude ver que la opcion "Listo" de una de estas impresoras cambiaba su estado. Al darme cuenta de esto, pude determinar facilmente que la razon la cual no podia imprimir era porque estaba imprimiendo a una impresora la cual no esta correctamente configurada. Simplemente se establecio a la impresora que estaba conectada a la PC, como la impresora por defecto.

Ahora tambien tenemos los clasicos mensajes de error que nos informan que algo esta ocurriendo pero no sabemos como solucionarlo. Aqui podemos utilizar nuestra mejor herramienta que es el Google, que nos ayudara a encontrar la solucion a nuestros problemas. En un proximo post estare explicando como encontrar la solucion a muchos problemas navegando en Internet.


Automaticamente el Sistema Operativo crea "Recursos Administrativos Ocultos" (Hidden Administrative Shares) para sus unidades logicas (C:, D:, etc) y les coloca el nombre C$, D$, etc. Adicionalmente crea un carpeta oculta ADMIN$ para la carpeta " \WINNT" o "\WINDOWS" (%systemroot%). Estos recursos compartidos han sido diseñados para el acceso remoto por los administradores de dominio. Por defecto cuando se elimina estos recursos compartidos, estos se recrearan cuando se reinicie el equipo. Para deshabilitar permanentemente esta opción debemos hacer los siguientes cambios en el REGEDIT(Windows NT/2000/XP):

Ingresar a la siguiente entrada de Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
Crear una nueva llave:
Nombre:
AutoShareServer (Para Servidores)
Nombre: AutoShareWks (Para Estaciones)
Tipo: REG_DWORD
Valor: 0

Finalmente Reiniciar el Equipo.

Hace tiempo queria publicar este Post, ahora tengo la oportunidad de dedicarle unos minutos para describir acerca de esta problematica que frecuentemente nos enfrentamos.

La gran mayoria de troyanos, gusanos, backdoors que circulan por los USB, lo que comunmente hacen es cambiar la configuración del Explorador de Windows para que este no puede verlos. Sabemos que eliminar estos bichos es algo sencillisimo, pero las secuelas que dejan los malwares, despues de la infección en muchos casos la gran mayoria de usuarios optan por formatear la PC, creyendo que es la unica solución para esta clase de inconvenientes. Pero para la gran mayoria de los ataques de hoy en dia de estos malwares hay solución.

Luego de haber eliminado un malware en algunos casos vemos que cuando queremos cambiar la configuracion para poder visualizar los archivos ocultos nos damos con la sorpresa que no podemos.

Photobucket

En la pantalla anterior seleccionamos "Mostrar todos los archivos y carpetas ocultos" y luego Aceptar. Supuestamente con este deberiamos poder ver los archivos ocultos, pero cuando volvemos ingresar a este pantalla vemos que los cambios que hicimos no surtieron efecto.

Esto sucede por que el malware cambio los registros de Windows imposibilitando regresar a la configuración que uno desea. Aqui les dejo los pasos para poder solucionar esto:

1. Abrir REGEDIT.EXE

2. Ingresar a la siguiente Ruta:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
3. Seleccionar la llave CheckedValue
4. Doble Clic sobre esta opción
5. Asignar el valor 1.
6. Clic en Aceptar
7. Cerrar el Regedit.exe

Photobucket

Apartir de ahora podremos ingresar a las Opciones de Carpeta del Explorador de Windows, y cambiar la configuracion para poder visualizar los archivos ocultos.

Nota: Verificar que la llave CheckedValue sea un DWORD, en caso que no lo sea borrar la llave y crear una nueva en formato DWORD.