En System Volume Information

Hola,

Me gustaría hacer una pregunta:

¿Porque todos los virus, a algunos de ellos, siempre los veo en "System Volume Information" ? . Según leo, tiene que ver con los puntos de restauración y cómo muchos virus se cuelan por ahí (no sé cómo).

Leo recomendaciones de desactivar dicha opción, pero entonces XP no creará los puntos de restauración automáticos que son muy útiles.

El caso es que no soy reparador de ordenador sino Admin de Redes, pero siempre toca limpiar el pc del primo del cuñado, jeje, porque en mi empresa tengo políticas muy fuertes donde nadie puede instalar nada, centralización del antivurus corporativo, políticas GPO con contraseñas LAN Manager (el hash de la contraseña) desactivado, IPSec, etc, un firewall con ISA Server y bueno, los pc´s no están libres de virus nunca pero tampoco dejo descargar powerpoints a los usuarios y otras políticas que reducen mucho el campo de acción de los virus, aunque nunca se está libre.

Me desvío: El pc en cuestión tenía la contraseña de Administrador en blanco, como creo es por defecto en Windows XP, le he puesto una contraseña fuerte , y resulta que el dueño del pc instalaba programas de todogratis.com, programasfull.com , etc (son ejemplos ficticios).

Tenía un buen antivirus AVG, gratuito pero efectivo hasta donde sé, igual que Avast, que por cierto Avast es el que me está descrubriendo los virus.

Además, tenía firewall de XP Pro por lo que si tenía un troyano conexión inversa creo que no había nada que hacer, el sintoma más claro era que hacía ping a cualquier ip publica, pero luego no conectaba a internet.

Parece que no hay ninguna pregunta en concreto:

-¿Pudo facilitar mucho la contraseña el blanco del administrador del equipo?
-¿Es recomendable el desactivar lo de los puntos de restauración de XP, que tanto me gustan?
-¿Como se ha colado el virus? (perdón por la pregunta tan genérica)
-El software de páginas de dudosa confianza es 99% origen de virus?

Gracias !!

Hola

- En cuanto a la primera pregunta, creo que no tiene nada que ver. Para lo único que vale la contraseña en la cuenta de administrador es para lo mismo que vale en las demás: para que entre el que se sepa esa contraseña.

- Yo no los utilizo porque utilizo programas de terceros para realizar las copias de seguridad, pero está bien tenerlos por si nos sacan de algún apuro.

- Da igual que entres como un usuario o como otro (incluido la cuenta administrador), si el que accede no tiene cuidado de lo que hace, terminará infectando el ordenador. Aunque no quiera.

- Hay muchos tipos de páginas web. Lo que hay que saber en cada momento es la página donde nos metemos y que tipo de servicios nos da y que otro tipo de servicios ofrece, publicidad,...

Que aparezcan los virus normalmente en los puntos de restauración es normal, ya que hacen copia de archivos importantes del sistema que son los que buscan los virus para hacernos pasar un mal rato.

Gracias por contestar DharkDunk,

-¿Y que hay del principio de menos privilegios? Es decir, de entrar en el sistema con un usuario sin privilegios, o los justos y necesarios. ¿Esto porque se indica así?. Así lo hago yo. Intuyo la respuesta es que si estás logado con Admin, le es mucho más fácil al virus o troyano propagarse, pero no estoy seguro. El caso es que lo leo mucho esta política y digo yo que sus razones habrá para que los expertos lo aconsejen.

-Escalada de privilegios: Hasta donde sé, esto significa que si consigues entrar en un sistema con privilegios limitados, conseguir la del Admin, y si ésta está en blanco, imagina la facilidad, de ahí mi pregunta o afirmación de no dejar la contraseña del Admin en blanco y ponerla fuerte ( símbolos, mayúsculas, números, más de 8 caracteres, ninguna palabra de diccionario ).

-Yo también uso programas de terceros, Acronis, que además tiene el universal restore para diferente hardware de destino.

Gracias de nuevo por tu tiempo !

Dado que el pc on la opción Restaurar sistema activada hace copia de los ficheros que considera necesarios para recuperar un estado, si estos fcheros han sido infectados previamente, la copia estará infectada. Si limpiamos el pc y por cualquier circunstancia restaurásemos un punto infectado volveríamos a tener comprometido de nuevo el pc.
Por eso se recomienda desactivar la opción Restaurar sistema antes de acometer una limpieza y una vez finalizada ésta volver a activarla.

Buenas,

Lo que dices es muy obvio, quiero decir, evidentemente si yo hago copias diarias en mi empresa, aunque tenga un histórico de 30 días de antiguedad de copias de seguridad, si la primera copia está infectada y las sucesivas.... poco se puede hacer, lo que comentas, entiendo, es lo mismo.

De todas maneras creo que no se desactiva por esa razón lo de Restaurar , según he podido leer en los días posteriores a escribir aquí la pregunta.

Gracias !

Pues no conozco otro motivo, salvo que uses otra aplicación para tomar fotos del sistema como EruNT o directamente no quieras salvar el estado del sistema.

Dudo que los virus infecten directamente la carpeta System Volume Information puesto que ni siquiera es accesible para el usuario administrador. Sólo puede acceder el usuario de sistema system y aunque se pueden tomar sus privilegios no veo que interés puede tomar un virus en alojarse allí ya que no existe la seguridad de que el usuario vaya a efectuar alguna vez una restauración de sistema ni siquiera que elija el punto infectado.

Gracias por contestar Rid,

Yo también "tomo fotos" del sistema con otro software de Terceros, pero no quito la opción de Restaurar sistema, ya que son, hasta donde sé, perfectamente compatibles.

En cuanto a los virus en "System Volume Information" en muchos sitios he leido, como ya he comentado, el desactivar Resturar Sistema, y es, según comentan porque muchos virus se cuelan por ahí, yo he podido comprobar directamente al escanear recientemente un equipo como éste tenía algunos troyanos en dicha carpeta a lo que tú dirás que es porque ya estaba ahí cuando se hizo el punto de restauración y yo, por lo que leo, me parece que es porque los virus y/o troyanos se meten ahí una vez hecho el punto de restauración.

Cito textualmente también al usuario DKarnDunk:

"Que aparezcan los virus normalmente en los puntos de restauración es normal, ya que dichos puntos de restauración hacen copia de archivos importantes del sistema que son los que buscan los virus para hacernos pasar un mal rato"

Por lo que deduzco, de la manera que sea, el virus es capaz de instalarse en esa carpeta "System Volume Information". Digo de la manera que sea porque tú comentas que no puede entrar en esa carpeta ni el usuario Admin.

Gracias por tu tiempo !!

Hola de nuevo, me gustaría hacer una puntualización a lo que DkarnDunk contesta en la respuesta 3, textualmente:

"Da igual que entres como un usuario o como otro (incluido la cuenta administrador), si el que accede no tiene cuidado de lo que hace, terminará infectando el ordenador. Aunque no quiera"

Me parece muy atrevida dicha afirmación ya que siempre es mejor (en linux se hace así por defecto) entrar con los mínimos privilegios posibles, los justos y necesarios, para que, si un troyano y/o virus entra en el sistema, haga el menor daño posible, es decir, hay troyanos que pueden borrar y modificar carpetas, archivos, etc, pero si el atacante se encuentra con que tiene un usuario con privilegios de sólo lectura sobre las carpetas importantes, no podrá realizar dichas acciones.

Lo que dices es cierto, si el usuario limitado abre una foto o powerpoint etc indebidamente, ya tenemos el troyano en la empresa, pero creo que no podrá propagarse por la red o en el ecaso del troyano, el atacante no podrá conectarse a otros pc´s , aunque tengo mis dudas porque hay una GPO en 2003 Server y sus dominios que dice que para conectarse a otro pc vía smb (\\IP o nombre_netbios) no hace falta ser Admin, pero no estoy seguro de esto último.

La afirmación de "la contraseña en blanco del Administrador da igual" me parece muy mala política, nefasta diría, dentro de mis pocos conocimientos una password de Admin en blanco permitirá hacer escalada de privilegios, aunque esto ya lo he comentado en un post anterior. Es decir, consigo la contraseña de un usuario limitado y pruebo a conectarme como Admin y resulta que esta contraseña está en blanco, Eureka ! , tengo la cuenta del Admin para mi. No lo veo lógico.

Gracias !!

Acabo de leer esto: "En principio el acceso a la carpeta System Volume Information está bloqueado, pero un virus puede eludir esté bloqueo" .

Acabo de leer esto: "En principio el acceso a la carpeta System Volume Information está bloqueado, pero un virus puede eludir esté bloqueo" .