Comienzo a recibir bastantes correos preguntándome acerca del tema, así que dedicaré un artículo con los pasos para eliminar lo que parece ser el nuevo virus del momento, el w32 lechuck is here!.

Lechuck para quienes no lo sepan, se trata del malvado pirata del famoso juego Monkey Island de LucasArts, del que tanto hemos hablado por aquí.

Aunque la mayoría de los virus similares llevan a cabo casi las mismas acciones, este está muy bien preparado. Como vía de infección usa el MSN Messenger o Windows Live Messenger de manera muy similar a otros virus como el fotos_posse, mostrando un mensaje similar, junto a la dirección con el virus:

Al infectarse, se muestra una ventana con el malvado pirata, bajo el siguiente mensaje de error, que desaparece al cabo de un tiempo:

Las características principales del virus:

• Bloquea el Administrador de tareas: Con lo que no puedes pulsar CTRL+ALT+Supr para finalizar el virus.
• Borra ficheros ejecutables .EXE: Eliminando todos los antivirus, anti-spyware o instaladores que existan.
• Cierra ventanas de navegadores: Cuando se busca la palabra «virus», «antivirus» o similar.
• Bloquea la función de restaurar sistema: Evitando volver a un estado en el que Windows funcionaba correctamente.
• Se copia a unidades extraibles: Curiosa característica de los últimos virus. Se copian a unidades extraíbles (Pendrive y MP4 incluídos), modificando el autorun.inf para ejecutarse en los PCs que sean insertados.

Como eliminar el virus

Pero como todos, es un virus, y tiene sus limitaciones. A continuación vamos a explicar como eliminar el virus:

1. En primer lugar, reiniciamos el ordenador.
2. Cuando estemos reiniciando, y antes de ver el logo de Windows, pulsamos repetidamente la tecla F8 hasta que nos aparezca un menú.
3. En este menú seleccionamos Modo seguro con funciones de red. Si este modo no nos funciona correctamente, lo intentaremos luego con Modo seguro.
4. Entramos en nuestra sesión de Windows (o en la de Administrador si es posible).
5. Windows nos preguntará si queremos restaurar el sistema. El virus desactiva esta característica y es muy posible que no lo puedas restaurar correctamente, así que evitamos realizar la restauración. No obstante, puedes intentarlo.
6. Comprobamos si existe acceso a internet cargando cualquier página. Dependiendo del modo elegido y de nuestra configuración de red, puede que tengamos acceso a internet. Si es así, nos saltamos los tres siguientes pasos. Sino, continuamos.
7. Una vez en el modo seguro, vamos a Inicio / Ejecutar y escribimos msconfig.
8. Nos aparecerá una ventana donde marcaremos Inicio selectivo dejando marcada sólo la casilla Cargar servicios del sistema.
9. Aceptar y reiniciar.

¡OJO! Con esto habremos conseguido eliminar la lista de programas que se cargan al iniciar Windows. Esto significa que cuando reiniciemos muchos programas o dispositivos no nos funcionarán puesto que no se han iniciado, pero además tampoco se habrá iniciado el virus.

Ahora sólo tenemos que descargarnos por internet un Antivirus (puesto que el virus, seguramente se habrá cargado el nuestro), instalarlo y limpiar nuestro equipo. O si lo prefieres, visitar uno de los antivirus online siguientes:

• Panda ActiveScan
• Kaspersky Online Scanner
• Trend Micro Scanner
• Bit Defender Online

Finalmente, después de pasar el antivirus y limpiar nuestro equipo, volveremos a Inicio / Ejecutar / msconfig y volvemos a marcar la primera casilla: Inicio normal para restaurar el resto de programas.

Ultimamente está rondando un virus por la red de MSN Messenger (similar al virus Banload, que hace tiempo también se propagó bastante por el MSN) y que muestra unos mensajes similares a los siguientes:

hola
espero que te gusten las fotos
me las hice ayer
ey mira te mando unas fotos que me hice ayer

Después de soltar repetidamente frases como esta (o similares), envía una o varias veces un fichero llamado fotos_posse.zip (de 11kb de tamaño) que contiene una supuesta foto con nombre yo_posse_007.jpg. Kaspersky lo cataloga como el virus IM-Worm.Win32.VB.az.

En realidad no se trata de una foto, sino de un virus ejecutable que en muchos ordenadores pasa como una foto porque por defecto Windows oculta las extensiones conocidas como .exe, ¡aconsejo activar siempre el mostrar extensiones conocidas en Windows!).

¡Nos hemos infectado! ¿Que podemos hacer? Como siempre, eliminar el virus es muy sencillo, pero hay que ser precavido:

1. Ten siempre un antivirus instalado.
2. Actualiza tu antivirus. Tener un antivirus instalado si no lo actualizas diariamente (o al menos semanalmente) ¡no sirve de nada!
3. Si aún con los antivirus no puedes eliminarlo (o no tienes antivirus), prueba a limpiar tu ordenador con un antivirus vía web como Panda ActiveScan o Kaspersky Online (necesario Internet Explorer al usar ActiveX)..

Eliminar el virus: Para los que aún siguiendo estos puntos no hayan podido quitar el virus, Relok ha creado una excelente guía para eliminar el virus del fotos_posse.

¡OJO! Este artículo NO trata de cómo "robar" contraseñas o claves, cosa que es imposible. En la mayoría de los casos, las claves son robadas por descuídos de la víctima, aquí tratamos como evitarlos.

En realidad, tras este presuntuoso título de artículo, lo que quiero es concienciar a todos aquellos que utilizan contraseñas o claves (no sólo para MSN Messenger o hotmail, aunque es el caso más común) sino de cualquier otro servicio, sobretodo los basados en internet, donde la seguridad cobra más fuerza e importancia.

Muy a menudo recibo correos o comentarios en algunos artículos de usuarios que piden ayuda o preguntan como les han robado la cuenta de hotmail (u otras), algunos incluso preguntan como saber la contraseña de otros MSN Messenger...

Mis recomendaciones son las siguientes:

1. Crea cuentas en lugares seguros:
   Si necesitas crearte una cuenta de correo (u otra), hazlo en tu casa con tu ordenador. En lugares externos como cybers o PCs ajenos nunca se sabe si la clave se almacenará en el PC o si existen una especie de virus/troyanos llamados keyloggers que registran todo lo tecleado.
2. Utiliza el teclado en pantalla en lugares públicos
   Para teclear contraseñas y evitar el posible uso de keyloggers que las registren, puedes usar el Teclado en pantalla que se encuentra en Programas / Accesorios (o en Inicio / Ejecutar... / osk). La mayoría de las páginas de cuentas bancarias ya traen alguno parecido incorporado, que incluso cambia el orden de las teclas para mayor seguridad.
3. No marques la casilla «Recordar contraseña»:
   Si te conectas al MSN Messenger (u otro servicio) desde un ordenador que puedan utilizar otras personas, acuérdate de desactivar la opción Recordar contraseña. Si no lo haces, cualquier otra persona puede conectarse sin conocer la contraseña y cambiarla.
4. Establece una pregunta secreta muy complicada:
   Esta es bastante importante. La mayoría de robos de cuentas que existen por ahí no son de malvados hackers que te tienen manía, sino de Lamers que se aprovechan de usuarios despistados o sin experiencia. Normalmente la víctima establece una respuesta secreta tan fácil que cualquiera que conozca a la víctima o hable un poco con ella se la puede sacar fácilmente (nombre de su mascota, apellidos del padre, lugar de residencia, etc...). Evitar cosas tan sencillas.
5. Ten un antivirus actualizado siempre activo:
   Algo que no puede faltar hoy en día es tener un Antivirus monitorizando cualquier paso que se da. ¡OJO!: Un antivirus que no se actualiza es casi como no tener antivirus. Si no tienes ninguno, puedes descargarte algún antivirus gratuito o libre. Si sospechas que tienes algún virus y necesitas comprobarlo YA, pégale un repaso a tu sistema con este Antivirus de Panda Online (Usa ActiveX y necesita Internet Explorer). No está de más tener también un firewall, aunque su correcta configuración pasa a ser algo más compleja.
6. Asegúrate de no introducir claves en páginas falsas:
   Otro de los trucos para extraer contraseñas de víctimas, es realizar una réplica casi idéntica de la página donde nos pide la contraseña. Para evitar esto es imprescindible andar con pies de plomo y comprobar antes de escribir cualquier contraseña la dirección donde la estamos enviando. ¡Cuidado sobre todo en las páginas de tarjetas virtuales! Se utiliza mucho en ellas.
7. Cuidado con los sitios que te piden tu fecha de cumpleaños:
   Una técnica que se usa mucho últimamente es la de enviar a la víctima (por correo electrónico generalmente) invitaciones para escribir su fecha de nacimiento (u otros datos) que generalmente son los que se escriben en la pregunta/respuesta secreta.
8. Uso de ingeniería social para robar claves:
   No existe ninguna forma «genial» para robar claves de otras cuentas de correo. Si esto fuera así, todo sería un auténtico caos, y nadie tendría a salvo su correo y sus datos. Existen muchos espabilados que utilizan trampas para robar cuentas, anunciando un método revolucionario para obtener contraseñas de correo. Por ejemplo:
   
   

   ¡OJO! Esto no es un método para robar cuentas de correo, es un engaño muy frecuente que suelen utilizar los "ladrones".

   Como hackear una cuenta Hotmail:

   • Abres tu cuenta y le mandas un mail a la dirección userpass@hotmail.com (este correo varía, puesto que es el que se crea la persona que recibirá las contraseñas: director@, hotmail-bot@, dictores-hotmail@...) que es un bot autómata de envío de passwords.
   • En el asunto debes poner el correo (hotmail) de tu victima.
   • Ahora en el campo del mensaje escribir esto:
     
     Forgot password_auto_bot
     form_pwd; login= CUENTA DE LA VICTIMA
     form.login.focus( ); form.passwd.gets=?;
     sendto=ESCRIBE AQUÍ TU LOGIN;
     form.passwd=ESCRIBE AQUÍ TU PASSWORD
     form_pwd; value= “adm”;

   
   
   
   Parece una tontería, pero con esta técnica se consiguen robar multitud de correos, en el que la víctima envía su clave para (supuestamente) robar la clave de otra persona. Otro sistema bastante extendido es aquel en el que se le envía un correo desde un supuesto email de directores de hotmail, pidiendo el nombre de la cuenta y la clave para ampliar el espacio o no borrarlo de la base de datos de Hotmail. ¡No respondas a estas trampas!
9. Genera claves inteligentes:
   Lo ideal para una contraseña sería crear claves que no formen palabras o que no existan. Existe un tipo de ataque para "reventar" contraseñas que se basa en las palabras de un diccionario. Si la clave no contiene palabras de diccionario, más probabilidades tiene de no poder ser descubierta. Una curiosidad es que muchos sistemas no son capaces de reventar contraseñas que incluyen la letra «ñ», así que si es posible, utilízala.
10. Longitud o tamaño de la clave:
    La última, pero la más importante. Una clave de tamaño pequeña es muy fácil de descubrir por un método llamado fuerza bruta. Vía MundoGeek (excelente blog, por cierto) me encuentro con una tabla donde podemos observar lo que se puede tardar - en el peor de los casos, y siempre teniendo en cuenta las características del sistema (tipo de autenticación, número de intentos, velocidad de respuesta, etc...) en "reventar" una contraseña según su tamaño:
    
    

    Longitud	Todos los caracteres	Sólo minúsculas
    3 caracteres	0.86 segundos	0.02 segundos
    4 caracteres	1.36 minutos	0.46 segundos
    5 caracteres	2.15 horas	11.9 segundos
    6 caracteres	8.51 días	5.15 minutos
    7 caracteres	2.21 años	2.23 horas
    8 caracteres	2.10 centurias	2.42 días
    9 caracteres	20 milenios	2.07 meses
    10 caracteres	1,899 milenios	4.48 años
    11 caracteres	180,365 milenios	1.16 centurias
    12 caracteres	17,184,705 milenios	3.03 milenios
    13 caracteres	1,627,797,068 milenios	78.7 milenios
    14 caracteres	154,640,721,434 milenios	2,046 milenios

    
    
    Para que una contraseña sea realmente segura, debe tener como mínimo 7 caracteres (si utiliza minúsculas, mayúsculas y números) o 9 caracteres (si sólo utilizas minúsculas, mayúsculas o números).

Y tú, ¿cuántos caracteres tienen tus contraseñas normalmente? ¿Cuántos puntos conocías acerca de este tema? ¿Alguno que se me haya pasado por alto?

Hace algún tiempo hable del virus de MSN Messenger Banload (más conocido como "mira la foto"). Parece que tenemos nueva «epidemia» con una variante del Banload, que usa la misma técnica.

El virus se recibe a través de el programa de mensajería más extendido, MSN Messenger, a través de un contacto infectado que escribe la siguiente frase:

No hace falta decir que el fichero de esa dirección es el presunto virus y no un video como se pretende hacer creer. El problema, como siempre, es que la frase no tiene nada de extraña y puede hacerse pasar fácilmente como algo que nos ha dicho un contacto de confianza.

El hosting que hospeda el virus es Galeon (aunque se empieza a conocer el virus como el galeon fantasma) y es probable que no se tarde mucho en dar de baja el fichero por parte de los dueños de Galeon. Pero, como viene siendo usual, hay que tener en cuenta que el autor del virus puede modificar y añadir varios mirrors (diferentes direcciones alternativas con el mismo contenido por si uno no funciona) con dicho virus. ACTUALIZADO: Galeon ha retirado la copia del virus de sus servidores.

De momento no hay información por parte de las casas antivirus, principalmente el mayor peligro del virus es el efecto de propagación y que éste utiliza un mutex para inhabilitar la ejecución de ciertos programas como antivirus, navegadores, etc.

ACTUALIZADO: Al parecer el virus es una variante de SEJESE (información e instrucciones para eliminarlo)

Como siempre, para eliminar el virus lo mejor es usar una herramienta como Panda ActiveScan o Kaspersky Online (Solo desde Internet Explorer, ya que usa ActiveX).