UA-20469404-1
Mar 232012
 

Dado que hemos tenido experiencias con algún malware (por ejemplo una de las variantes del ransomware de “la policía”, que controlamos en el ELISTARA como WINLOCK), con el que aparece una pantalla que bloquea cualquier ejecución posterior, incluso a través del TASKMANAGER, impidiendo arrancar en MODO SEGURO para evitar la carga del malware en el inicio, hemos visto que la solución estriba en poder analizar el registro de sistema del disco duro infectado, colocado como esclavo, lo cual no es posible normalmente con el REGEDIT debido a que el registro que se mira es el del disco de arranque, no el del esclavo, siendo el arrancar desde LIVE CD u otro HDD MASTER, la alternativa que tenemos para poder acceder a todo el disco duro infectado.

 

Por ello, en SATINFO, hemos desarrollado una aplicación con la que aprovechar el mismo REGEDIT del sistema para editar los ficheros de registro de otro disco duro que no sea el de arranque, bien directamente o a través de acceso remoto, o de los ficheros del registro de dicho disco duro, que se hayan copiado a otro soporte, pendrive o similar, o que se haya enviado por mail, si bien su tamaño puede ser de varios Megas, por lo que este último puede ser el sistema menos aconsejable.

Pero el caso es que a partir de ahora podemos disponer de la utilidad SREGEDIT.EXE para editar el registro de discos duros no activos (no el de arranque, para el cual ya sirve el REGEDIT normal), y poder así ver el contenido de las claves, lo que lanzan y poder obrar en consecuencia, añadiendo .VIR a ficheros sospechosos que sean ejecutados en cada reinicio, o incluso modificar dicho registro si se esta editando directamente el de un disco duro esclavo.

Dicha nueva utilidad SREGEDIT.EXE ofrece escoger el fichero a editar, entre:

  • NTUSER.DAT (HKUS del Usuario, ubicado en la carpeta de cada usuario : Documents and Settings\<user>)
  • SOFTWARE (HKLM/Software, ubicado en %WinSys%\Config)
  • SYSTEM (HKLM/System, ubicado en %WinSys%\Config)

Con ello se generará una nueva clave FICHERO REG en HKEY USERS , con todo el contenido del fichero abierto, que es donde poder ver el registro esclavo y modificarlo.

Por supuesto que para ello debe tenerse experiencia en el manejo del REGEDIT de Windows y conocimientos técnicos suficientes para obrar en consecuencia, avisando que cualquier modificación improcedente puede conllevar la pérdida de arranque o incluso de acceso al disco duro manipulado, por lo cual debe limitarse el uso de esta utilidad a profesionales con suficientes conocimientos del sistema y del REGEDIT del mismo.

IMPORTANTE: ESPECIALMENTE EN ESTE CASO SATINFO AVISA QUE QUEDA EXIMIDA DE CUALQUIER RESPONSABILIDAD POR LOS PERJUICIOS QUE SU USO PUDIERA OCASIONAR, Y EN CUALQUIER CASO ES RESPONSABILIDAD DEL USUARIO EL UTILIZARLA, RECOMENDANDO SOLO USARLA PROFESIONALES CON EXPERIENCIA

 

Pulse aquí para descargar Sregedit.exe

 

SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA 23 de Marzo de 2012

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies