Hacia tiempo que no me ponia a hacer el imbecil. En mi antigua etapa, como me aburria mil, recuerdo que tenia cierto olfato para encontrar una imbecilidad tras otra. Pues bien… otra mas.

Dos ingredientes basicos para la historia:

• Mi opinion personal acerca del fracaso actual del sistema de antivirus que parte del principio de que para que uno NO se infecte con un virus/spyware o su puta madre, otro o uno mismo lo debe haber sufrido antes. En el fondo, el antivirus funciona como las medicinas, curan pero si la enfermedad es muy gorda… se muere. La unica posibilidad a sobrevivir a una enfermedad importante es estableciendo unas medidas justas de prevencion. Los shields de los antivirus entran en este punto de la historia, pero siempre protegiendo a posteriori. Alguien debe morir para proteger al resto.
• El segundo ingrediente, es mi pata. Desde que me quede cojo alla por el 28 de Diciembre he estado en casa aburrido, y cuando me aburro….

Bien dicho esto, el otro dia estuve viendo el funcionamiento del spybot search and destroy ese. Se trata de un programa de esos para windows, que es donde tiene razon de ser, que analiza las entradas en ficheros desde donde se puede ejecutar algun programa. Eso establece unos patrones iniciales: los .bat de inicio, y las archiconocidas entradas del registro (HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun etc etc etc…)

Eso condiciona el arranque del programa/virus/spyware al arranque del sistema operativo.

Con esa idea me fui a dormir: que si services, que si el run de aqui que si el run de alla, que si run uno, que si run dos… Pasaron algunas noches esquizofrenicas con alguna vuelta en la cabeza: que si unos usan el run normal, que si otros sustituyen el binario de otro que ya booteaba para arrancar, que si otros machacan al del antivirus… siempre desde la mas pura ignorancia del funcionamiento interno del windows.

Me iba dando cuenta que el sistema es funcional y es el que se usa porque a mas numero de muertos o de casos mas se autocompleta la lista de sitios desde donde bootear una aplicacion en el sistema operativo. Crucial para la supervivencia del propio virus. Quien pierde siglos en programar algo que se apaga cuando se apaga el ordenador??. Es incongruente. Aunque el sistema, como digo es efectivo porque el numero de sitios desde donde se puede poner en marcha una aplicacion es finito y cada vez mas controlado.

Pero he aqui que aparecio Sony, oh si, con su pequeña aportacion al mundo de los rootkits/spyware etc etc. Él me dió la luz, bueno a medias.

Tal vez una manera de romper esa barrera finita de sitios desde donde arrancar las aplicaciones sea DISOCIANDOLAS del sistema operativo y ASOCIANDO el arranque a otros complementos. O sea, por el ejemplo, el rootkit de sony usaba la propia insercion del CD para instalarse. Perfecto!. Por ejemplo, quien no tiene el Windows Media Player en su PC o quien no usa el NERO???. Muchisima gente. La idea es pues asociar el booteo de nuetra hijaputa-aplicacion al arranque de esas aplicaciones de uso diario. SI bien es cierto que es menos efectivo, tambien es cierto que nos sirve para evitar las limitaciones que los propios antispyware y el propio sistema operativo nos imponen. En el fondo es una chorrada que ya hacian los virus de macro por ejemplo. Hasta que no entraba en funcionamiento el word no arrancaban ellos. Pero hablamos de imbecilidades verdad?

Bueno, sigo con lo mio… alla me voy yo a buscar ejecutables que sean lanzados desde aplicaciones de uso cotidiano y elijo porque me sale de las… el nero.

Y aqui, mi querida internet, que todo lo sabe y que nadie lee, casi me da un Sindrome Esquizofrenico De Alta Magnitud (SEDAM). Porque si la historia de esta imbecilidad os estaba pareciendo curiosa, ahora lo va a ser mas.

A nuestro querido nero (version 6.00 la que uso
) no se le ocurre otra cosa que usar un comando bajo el cmd.exe de windows cuando comprueba las caracteristicas del CD. El procexplorer de sysinternals entre otras es la risa para esto. Eso me permite usar la 3.24 para darle una vuelta a la tortilla que me pone cachondo. Sabiendo esto nos vamos a la ayudita del cmd.exe:

help cmd

Y leemos todos juntos:

Si no se especificó /D en la línea de comandos, cuando CMD.EXE se inicie,
buscará las variables del Registro REG_SZ/REG_EXPAND_SZ, y si alguna de
ellas está presente, se ejecutarán en primer lugar.

HKEY_LOCAL_MACHINESoftwareMicrosoftCommand ProcessorAutoRun

y (o)

HKEY_CURRENT_USERSoftwareMicrosoftCommand ProcessorAutoRun

Las extensiones de comando están habilitadas de forma predeterminada.

A mi esto de “habilitadas de forma predeterminada” me pone.

Total que haya vamos.

En C: creamos pruebas.vbs que contiene:

mensaje = msgbox ("probando la mierda esta....", 1, "juas")

Ahora vamos a la key que nos dice la ayuda para el CMD windows y en Autorun metemos la ruta de nuestro script. Le damos al nero y OLE!. Que bonito madre!

Y con esto otra imbecilidad menos que me quita el sueño. Gracias Gracias….

PD: Evidentemente si ejecutamos un cmd a pelo tambien salta el mensajito. Luego ya son dos vias….