Programas - Software
En esta sección ofrezco a quien le pueda interesar
algunos pequeños programas que he tenido que realizar
para resolver problemas concretos y no he encontrado
una aplicación adecuada en internet.
- Anti-Nimda (o Chir.A o Chir.b)
( Actualizado Mayo 2009 )
Este fichero contiene cuatro programitas para ayudar
a recuperar lo que se pueda después de un ataque por Nimda.(W98)
- nulo.exe: No hace nada. Sirve para ocupar el sitio de
uno creado por el virus para perpetuar su ataque.
Como no hace nada, esta vertiente de la infección
se neutraliza. Hay que renombrarlo como runouce.exe
y colocarlo en c:/windows/system, sustituyendo al
que hubiera (11k) por éste (2k).
Puede ser necesario copiarlo mediante el símbolo
del sistema, porque Windows rechaza ciertas
manipulaciones de ficheros en System.
- nada.exe: Tampoco hace nada, excepto poner en pantalla un
mensaje: "Se ha ejecutado Runonce" y hay que cerrarlo.
Se supone que se ha renombrado nada.exe a Runonce.exe
y sustituido el Runonce original en System. También
hay que hacerlo a través del "msdos" del sistema, del
menú de programas.
Este reemplazo inactiva la función del Runonce original
que suele estar infectado por el virus y se dedica a
reinfectar cada vez que se le llama. Hay que
reemplazarlo cada vez que se vea que ha aumentado de
tamaño ( de 2k del nada.exe a 12k del nada.exe
infectado o los 45k del runonce infectado).
- nimdacleaner, nimdaclean.exe y nimdacleanp.exe,
tres versiones del mismo programa. La primera se
ejecuta y se cierra al cabo de 5 segundos. La
segunda se cierra inmediatamente y la tercera se queda
esperando el cierre manual.
Este programa desinfecta algunos .exe y los restaura
casi a su estado original. Hay que arrastrar el icono
del .exe infectado sobre el icono cuadrado azul del
reparador nimdaclean. El fichero con virus se renombra
empezando con _ y terminado en .exe_ para distinguirlo
del original, como copia de seguridad. Borrarlo cuando
el nuevo funcione bien.
El nuevo adquiere el nombre original.
Este programa tiene otra función: parchea el
Runonce.exe de windows98 (una versión concreta, con
"time stamp" 371fcdad , según dice la "vista rápida") y
le pone un filtro que hace que ignore el
comando "Runonce runouce.exe" que es el caballo de
batalla del virus.
La nueva versión de Runonce hace de vacuna y no pierde
funcionalidad para otras tareas de Windows. Si el
Runonce estuviera infectado hay que hacer dos pasadas
o recuperar el programa original, que suele estar en
W98 o CDROM. Conviene hacer una copia de seguridad del
Runonce infectado por si nimdacleaner no funcionara
bien. Y de otros importantes también.
Para eliminar el nimda hay que entrar en modo a prueba de fallos,
usar estos programas de aquí arriba, poniendo un copy en el autoexec
para que se recopien los buenos siempre al arrancar, ej.:
"copy /b c:/nada.ex_ c:/windows/system/runonce.exe", (la forma
nada.ex_ evita que el virus contamine el nada.exe real), luego
entrar en regedit para buscar (menú edición) todas las claves que
contienen "runouce", el programita infectador del nimda, y borrarlas
o editarlas (cambiarlas a otra cosa).
Luego reiniciar y repetir varias veces. Windows repone un backup
defectuoso, lo que impide que se fijen los cambios.
Hay que desinfectar también los .htm y .html, los que contengan
"readme.eml" y readte.eml". Los .exe infectados suelen contener
por ejemplo "btamail" o "Mzuó". También infecta ficheros .src , un
tipo de imagen. No lo he estudiado aún. Genera "preview.htm" para infectar
con el navegador. Hay que buscarlo y eliminarlo (en windows\temp)
Conviene desactivar las asociaciones .eml y .xls de sus programas
correspondientes: outlook y excel. Se evita la reinfección accidental.
Esto conviene hacerlo incluso antes de que llegue el virus.
Hay que comprobar el fichero riched20.dll que suele infectarlo. Hay
que sustituirlo por el original o quitarlo. Lo usa wordpad.
Las limpiezas semiautomáticas de .exe o .htm se pueden hacer con
algún programa de sustitución de cadenas. Hay varios, pero sólo un
par de ellos son adecuados para este caso. Además hay que tener en
cuenta que el virus modifica el status de algunos ficheros al azar
y los pone como ocultos y "sólo lectura", con lo cual pueden pasar
inadvertidos en una primera limpieza. Se reponen los atributos con
el menú "propiedades".
Para esta reparación se puede usar el "searchandreplace" de
Markus Bader, poniendo como cadena a buscar la secuencia hexadecimal:
60e8e61900008b742420e808 que está en el virus y como sustitución:
909090909090909090909090 que anula su funcionamiento.
Con este mismo programa se pueden eliminar de todos los .htm y .html
las líneas que añade al final invocando "readme.eml" o "readte.eml".
La sustitución también puede hacerse con HxD . En "extras" seleccionar
"abrir disco" y escoger el disco de sistema. Luego con la función de reemplazar
poner la secuencia hexadecimal de arriba para buscar y la de abajo para
reemplazar. Lanzar la "búsqueda-reemplazo". Puede tardar más de media hora.
Hay que estar pendiente y en cuanto termine, de inmediato, pulsar
el botón
de reset del ordenador, para que se reinicie sin dar tiempo a reinfección.
Si se ha logrado callar al virus, al arrancar Windows dirá algo sobre
"error de ejecución" de "runouce.exe". Quiere decir que el virus está dañado
e inactivado. Se puede borrar de c:\windows\system\ , quitándole la opción
de "solo lectura" previamente.
Conviene añadir, W98, en el autoexec.bat un par de líneas para borrar
posibles restos:
attrib c:\windows\system\runouce.exe -a-h-s-r
del /s /q /f c:\windows\system\runouce.exe -a-h-s-r
Lo mismo para c:\autorun.inf o c:\runouce.exe y cualquier otro fichero
de los que produce el virus.
Conviene eliminar del registro toda referencia a runouce. Se lanza el regedit,
en edición, buscar se pone runouce y se seleccionan todas las opciones
de búsqueda.
Cada vez que se encuentre alguna, marcar y eliminar. Luego salir del programa
regedit y reiniciar.
Adaptación del teclado
- MasTeclas (dead keys)
He perdido mucho tiempo poniendo signos especiales
en mis libros, que usan tipografías muy diversas. El problema
lo resolví en MS-DOS, pero con Windows98 he tenido que volver
a empezar. Lo que he encontrado en internet no me ha resultado
útil, así que he tenido que prepararme una utilidad para que
las "teclas muertas" (dead keys) que usamos para los acentos
y diacríticos puedan generar los demás caracteres especiales
normalmente accesibles con CharMap, códigos numéricos u otros.
Lo tengo resuelto para XP, pero el programa no está hecho. Si
lo hago, estará limitado a los acentos. Hay un programa
shareware, el KbdEdit con esa y más funciones.
El programa MasTeclas permite asociar cualquier
tecla habitual con los diacríticos, con lo que quedan ampliamente
cubierto los ASCIIs altos.
El fichero MasTeclas.zip contiene el programa y el
fichero de texto de configuración personalizable. El programa
no modifica código ejecutable, sólo tablas de consulta. En
cualquier caso, si hay algo que señalar, ruego me lo comuniquen.
(Lo he probado en dos ordenadores diferentes, W98 no idénticos)
El fichero de texto (personalizable) es éste:
aeiouAEIOUñ+ Con acento grave
àèìòùÀÈÌÒÙ\#` <- resultan éstas
aeiouysSAEIOUYñç Con acento agudo
áéíóúýšŠÁÉÍÓÚÝ/|´ <- resultan éstas
aeiouAEIOU Con circunflejo
âêîôûÂÊÎÔÛ^ <- resultan éstas
aeiouyAEIOUY Con diéresis
äëïöüÿÄËÏÖÜŸ¨ <- resultan éstas
aonAON Con AltGr-4
ãõñÃÕÑ~ <- resultan éstas
;----------Aquí debajo, sólo comentarios -------
Este texto se puede modificar para quitar
o añadir combinaciones. La sucesión original
se interrumpe al encontrar un espacio.
Lo que haya a la derecha se considera un comentario.
Sólo se interpretan las 10 primeras líneas de este fichero.
Los propios signos "muertos" se obtienen con espacio:
` ´ ^ ¨ ~ tal como figuran arriba, en este orden.
Nota importante: La tabla de correspondencias debe
estar perfectamente alineada. De no ser así, el
resultado no será correcto, pero no es de esperar
que se produzca ningún perjuicio. Las modificaciones
no afectan parámetros esenciales. En caso de duda
o funcionamiento incorrecto borrar, en el directorio
c:\WINDOWS\System\
los ficheros kbdsp.kbd (español tradicional) y/o
kbdpo.kbd (portugués estándard) y si ha guardado una
copia, reponer los originiales. O volver a instalarlos:
Configuración>Panel de Control>Teclado>Idioma>Agregar
Revisar este fichero de configuración, ejecutar MasTeclas.exe,
y reiniciar el equipo. Windows se encarga de poner todo en
su sitio. La instalación o reinstalación crea los ficheros .kbd,
borrando los que hubiera antes.
Este fichero, kdbsp.txt , debe renombrarse o copiar como
kbdpo.txt para ampliar el teclado portugués. Debe(n)
estar en el directorio c:\WINDOWS\System\ junto con
los *.kdb (ficheros de configuración de teclados)
El programa "MasTeclas.exe" es "freeware". By P. Nieto
Agosto 2006